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Signaturen und zur Änderung weiterer Vorschriften 


A. Zielsetzung 

Der Gesetzentwurf dient der Ablösung des geltenden Signaturgesetzes vom 
1. August 1997 (BGBl. I S. 1870, 1872). Der Entwurf verfolgt zwei Ziele: 
Erstens dient er der Umsetzung der Richtlinie 1999/93/EG des Europäischen 
Parlaments und des Rates vom 13. Dezember 1999 über gemeinschaftliche 
Rahmenbedingungen für elektronische Signaturen (ABI. EG 2000 Nr. L 13 
S. 2; im Folgenden: Richtlinie). Zweitens greift er die Ergebnisse der Evaluie- 
rung des geltenden Signaturgesetzes (SigG) auf, wie sie im Bericht der Bundes- 
regierung zum Informations- und Kommunikationsdienste-Gesetz vom 18. Juni 
1999 (Bundestagsdrucksache 14/1191) festgestellt worden sind. 


B. Lösung 

Die im Gesetzentwurf vorgesehene Sicherheitsinfrastruktur für qualifizierte 
elektronische Signaturen ermöglicht es, im elektronischen Rechts- und Ge- 
schäftsverkehr den Urheber und die Integrität von Daten zuverlässig festzustel- 
len. Dies ist die notwendige Voraussetzung dafür, dass die elektronische Signa- 
tur ein Substitut zur handschriftlichen Unterschrift darstellen und hierdurch 
eine entsprechende Rechtswirkung entfalten kann. Die Regelung der Rechts- 
wirkung qualifizierter elektronischer Signaturen ist Gegenstand des Entwurfes 
eines Gesetzes zur Anpassung der Formvorschriften des Privatrechts an den 
modernen Rechtsgeschäftsverkehr, der von der Bundesregierung gesondert in 
den Bundestag eingebracht wird. 

Der Gesetzentwurf sieht die Einführung einer freiwilligen Akkreditierung für 
Zertifizierungsdiensteanbieter vor, um den eingeführten und anerkannten Si- 
cherheitsstandard nach dem geltenden Signaturgesetz für den Markt weiterhin 
anzubieten und zu erhalten. Eine im geltenden Signaturgesetz nicht vorgese- 
hene Regelung zur Flaftung der Zertifizierungsstellen und zur entsprechenden 
Deckungsvorsorge ist in den Entwurf aufgenommen worden. Der Entwurf trägt 
darüber hinaus den Erkenntnissen aus der Evaluierung des geltenden Signatur- 
gesetzes durch Klarstellungen hinsichtlich der Befugnisse der Berufskammem, 
der Funktionen der Zertifizierungsstellen und der Anerkennung von Prüf- und 
Bestätigungsstellen Rechnung. Der Entwurf sieht weiterhin die Anpassung gel- 
tenden Bundesrechts an das neue Signaturgesetz vor. Weiterer Regelungsbedarf 
ergibt sich aus der Einführung des Euro. 
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C. Alternativen 

Keine 


D. Kosten der öffentlichen Haushalte 

Mit diesem Gesetz sind folgende - im Vergleich zum geltenden SigG - zusätz- 
liche Kosten für den Bundeshaushalt verbunden (Vollzugsaufwand): 

Kosten entstehen im Zusammenhang mit dem nach Artikel 3 der Richtlinie 
vorgeschriebenen Überwachungssystem für Zertifizierungsstellen bei der nach 
§ 3 SigG-E zuständigen Behörde, der Regulierungsbehörde für Telekommuni- 
kation und Post (RegTP). Soweit hierdurch zusätzlicher Personal- und Sachauf- 
wand entsteht, wird dieser durch Gebühren und Beiträge abgedeckt. Im Einzel- 
nen wird hierüber im Rahmen der jeweiligen Haushaltsaufstellung entschieden. 

Die Länder und Gemeinden werden nicht mit zusätzlichen Verwaltungskosten 
belastet. Das Verwaltungskostengesetz bleibt unberührt. 

Weitere Kosten sind nicht zu erwarten. Den aufgeführten Kosten steht ein weit- 
aus höheres Rationalisierungspotenzial, das mit der Nutzung qualifizierter elek- 
tronischer Signaturen nach dem Signaturgesetz verbunden ist, gegenüber. 


E. Sonstige Kosten 

Das Gesetz bildet eine wichtige Voraussetzung für eine erhebliche Effizienz- 
steigerung der Verwaltungen in Wirtschaft und Behörden. Zugleich gibt das 
Gesetz mit seinen EG-einheitlichen Rahmenbedingungen einen wichtigen 
Impuls für einen neuen Wirtschaftszweig der Datensicherheit (Zertifizierungs- 
stellen, Produkte für elektronische Signaturen und Datensicherheit, Prüf- und 
Bestätigungsstellen) sowie für eine beschleunigte Modernisierung der Ver- 
waltungen in Wirtschaft und Behörden. Die dafür notwendigen Investitionen 
kommen wiederum dem Arbeitsmarkt zugute. 

Die Regelungen führen daher bei einer Gesamtbetrachtung zu einer Entlastung 
in Wirtschaft und Verwaltung. Von der Förderung des Wettbewerbs gehen 
tendenziell dämpfende Einflüsse auf Einzelpreise aus. Auswirkungen auf das 
Preisniveau, insbesondere das Verbraucherpreisniveau, sind nicht zu erwarten. 
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Bundesrepublik Deutschland 

Der Bundeskanzler Berlin, den 16. November 2000 

022 (324) -262 00 -Si 1/00 


An den 

Präsidenten des 
Deutschen Bundestages 
Platz der Republik 

11011 Berlin 


Hiermit übersende ich den von der Bundesregierung beschlossenen 

Entwurf eines Gesetzes über Rahmenbedingungen für elektronisehe Signaturen 
und zur Änderung weiterer Vorschriften 

mit Begründung und Vorblatt (Anlage 1). 

leh bitte, die Beschlussfassung des Deutsehen Bundestages herbeizuführen. 

Federführend ist das Bundesministerium für Wirtschaft und Technologie. 

Der Bundesrat hat in seiner 754. Sitzung am 29. September 2000 gemäß Artikel 76 
Abs. 2 des Grundgesetzes beschlossen, zu dem Gesetzentwurf wie aus Anlage 2 ersicht- 
lich Stellung zu nehmen. 

Die Auffassung der Bundesregierung zu der Stellungnahme des Bundesrates ist in der 
als Anlage 3 beigefügten Gegenäußerung dargelegt. 


Gerhard Schröder 
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Anlage 1 

Entwurf eines Gesetzes über Rahmenbedingungen für eiektronische Signaturen 
und zur Änderung weiterer Vorschriften 


Der Bundestag hat das folgende Gesetz beschlossen: 

Artikel 1 

Gesetz über Rahmenbedingungen 
für elektronisehe Signaturen 
(Signaturgesetz - SigG)b 

Inhaltsübersicht 

Erster Abschnitt. Allgemeine Bestimmungen 

§ 1 Zweck und Anwendungsbereich 
§ 2 Begriffsbestimmungen 
§ 3 Zuständige Behörde 

Zweiter Abschnitt. Zertifizierungsdiensteanbieter 

§ 4 Allgemeine Anforderungen 

§ 5 Vergabe von qualifizierten Zertifikaten 

§ 6 Unterrichtungspflicht 

§ 7 Inhalt von qualifizierten Zertifikaten 

§ 8 Sperrung von qualifizierten Zertifikaten 

§ 9 Qualifizierte Zeitstempel 

§10 Dokumentation 

§11 Haftung 

§12 Deckungsvorsorge 

§13 Einstellung der Tätigkeit 

§14 Datenschutz 

Dritter Abschnitt. Freiwillige Akkreditierung 

§15 Freiwillige Akkreditierung von Zertifizierungsdienste- 
anbietem 

§16 Zertifikate der zuständigen Behörde 

Vierter Abschnitt. Technische Sicherheit 

§17 Produkte für elektronische Signaturen 

§18 Anerkennung von Prüf- und Bestätigungsstellen 

*) Die Mitteilungspflichten der Richtlinie 98/34/EG des Europäischen 
Parlaments und des Rates vom 22. Juni 1998 über ein Informations- 
verfahren auf dem Gebiet der Normen und technischen Vorschriften 
(ABI. EG Nr. L 204 S. 37 v. 2 1 . Juli 1 998), zuletzt geändert durch die 
Richtlinie 98/48/EG des Europäischen Parlaments und des Rates vom 
20. Juli 1998 (ABI. EG Nr. L 217 S. 18 v. 5. August 1998), und die 
Mitteilungspflichten der Richtlinie 1999/93/EG des Europäischen 
Parlaments und des Rates vom 13. Dezember 1999 über gemein- 
schaftliche Rahmenbedingungen für elektronische Signaturen (ABI. 
EG 2000 Nr. L 13 S. 2) sind beachtet worden. 


Fünfter Abschnitt. Aufsicht 

§ 1 9 Aufsichtsmaßnahmen 
§ 20 Mitwirkungspflicht 

Sechster Abschnitt. Schlussbestimmungen 

§21 Bußgeldvorschriften 
§ 22 Kosten und Beiträge 

§ 23 Ausländische elektronische Signaturen und Produkte 
für elektronische Signaturen 

§ 24 Rechtsverordnung 

§ 25 Übergangsvorschriften 

Erster Abschnitt 
Allgemeine Bestimmungen 

§ 1 

Zweck und Anwendungsbereich 

(1) Zweck des Gesetzes ist es, Rahmenbedingungen für 
elektronische Signaturen zu schaffen. 

(2) Soweit nicht bestimmte elektronische Signaturen 
durch Rechtsvorschrift vorgeschrieben sind, ist ihre Ver- 
wendung freigestellt. 

§2 

Begriffsbestimmungen 
Im Sinne dieses Gesetzes sind 

1. „elektronische Signaturen“ Daten in elektronischer 
Form, die anderen elektronischen Daten beigefügt oder 
logisch mit ihnen verknüpft sind und die zur Authentifi- 
zierung dienen, 

2. „fortgeschrittene elektronische Signaturen“ elektroni- 
sche Signaturen nach Nummer 1, die 

a) ausschließlich dem Signaturschlüssel-Inhaber zuge- 
ordnet sind, 

b) die Identifizierung des Signaturschlüssel-Inhabers er- 
möglichen, 

c) mit Mitteln erzeugt werden, die der Signaturschlüs- 
sel-Inhaber unter seiner alleinigen Kontrolle halten 
kann, und 

d) mit den Daten, auf die sie sich beziehen, so verknüpft 
sind, dass eine nachträgliche Veränderung der Daten 
erkannt werden kann, 

3. „qualifizierte elektronische Signaturen“ elektronische 
Signaturen nach Nummer 2, die 

a) auf einem zum Zeitpunkt ihrer Erzeugung gültigen 
qualifizierten Zertifikat beruhen und 

b) mit einer sicheren Signaturerstellungseinheit erzeugt 
werden. 
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4. „Signaturschlüssel“ einmalige elektronische Daten wie 
private kryptographische Schlüssel, die zur Erstellung 
einer elektronischen Signatur verwendet werden, 

5. „Signaturprüfschlüssel“ elektronische Daten wie öf- 
fentliche kryptographische Schlüssel, die zur Überprü- 
fung einer elektronischen Signatur verwendet werden, 

6. „Zertifikate“ elektronische Bescheinigungen, mit de- 
nen Signaturprüfschlüssel einer Person zugeordnet 
werden und die Identität dieser Person bestätigt wird, 

7. „qualifizierte Zertifikate“ elektronische Bescheinigun- 
gen nach Nummer 6 für natürliche Personen, die die 
Voraussetzungen des § 7 erfüllen und von Zertifizie- 
rungsdiensteanbietern ausgestellt werden, die die An- 
forderungen dieses Gesetzes und der Rechtsverord- 
nung nach § 24 erfüllen, 

8. „Zertifizierungsdiensteanbieter“ natürliche oder juristi- 
sche Personen, die qualifizierte Zertifikate oder qualifi- 
zierte Zeitstempel ausstellen, 

9. „Signaturschlüssel-Inhaber“ natürliche Personen, die 
Signaturschlüssel besitzen und denen die zugehörigen 
Signaturprüfschlüssel durch qualifizierte Zertifikate 
zugeordnet sind, 

10. „sichere Signaturerstellungseinheiten“ Software- oder 
Hardwareeinheiten zur Speicherung und Anwendung 
des jeweiligen Signaturschlüssels, die die Anforderun- 
gen dieses Gesetzes und der Rechtsverordnung nach 
§ 24 erfüllen und die für qualifizierte elektronische 
Signaturen bestimmt sind, 

11. „Signaturanwendungskomponenten“ Software- und 
Hardwareprodukte, die dazu bestimmt sind, 

a) Daten dem Prozess der Erzeugung oder Prüfung 
qualifizierter elektronischer Signaturen zuzufüh- 
ren oder 

b) qualifizierte elektronische Signaturen zu prüfen 
oder qualifizierte Zertifikate nachzuprüfen und die 
Ergebnisse anzuzeigen, 

12. „technische Komponenten für Zertifizierungsdienste“ 
Software- oder Hardwareprodukte, die dazu bestimmt 
sind, 

a) Signaturschlüssel zu erzeugen und in eine sichere 
Signaturerstellungseinheit zu übertragen, 

b) qualifizierte Zertifikate öffentlich nachprüfbar und 
gegebenenfalls abrufbar zu halten oder 

c) qualifizierte Zeitstempel zu erzeugen, 

13. „Produkte für elektronische Signaturen“ sichere Signa- 
turerstellungseinheiten, Signaturanwendungskompo- 
nenten und technische Komponenten für Zertifizie- 
rungsdienste, 

14. „qualifizierte Zeitstempel“ elektronische Bescheini- 
gungen eines Zertifizierungsdiensteanbieters, der die 
Anforderungen dieses Gesetzes und der Rechtsverord- 
nung nach § 24 erfüllt, darüber, dass ihm bestimmte 
elektronische Daten zu einem bestimmten Zeitpunkt 
Vorgelegen haben. 


15. „freiwillige Akkreditierung“ Verfahren zur Erteilung 
einer Erlaubnis für den Betrieb eines Zertifizierungs- 
dienstes, mit der besondere Rechte und Pflichten ver- 
bunden sind. 

§3 

Zuständige Behörde 

Die Aufgaben der zuständigen Behörde nach diesem Gesetz 
und der Rechtsverordnung nach § 24 obliegen der Behörde 
nach § 66 des Telekommunikationsgesetzes. 

Zweiter Abschnitt 
Zertifizierungsdiensteanbieter 

§4 

Allgemeine Anforderungen 

(1) Der Betrieb eines Zertifizierungsdienstes ist im Rah- 
men der Gesetze genehmigungsfrei. 

(2) Einen Zertifizierungsdienst darf nur betreiben, wer 
die für den Betrieb erforderliche Zuverlässigkeit und Fach- 
kunde sowie eine Deckungsvorsorge nach § 12 nachweist 
und die weiteren Voraussetzungen für den Betrieb eines 
Zertifizierungsdienstes nach diesem Gesetz und der Rechts- 
verordnung nach § 24 Nr. 1 und 3 gewährleistet. Die erfor- 
derliche Zuverlässigkeit besitzt, wer die Gewähr dafür bie- 
tet, als Zertifizierungsdiensteanbieter die für den Betrieb 
maßgeblichen Rechtsvorschriften einzuhalten. Die erforder- 
liche Fachkunde liegt vor, wenn die im Betrieb eines Zertifi- 
zierungdienstes tätigen Personen über die für diese Tätig- 
keit notwendigen Kenntnisse, Erfahrungen und Fertigkeiten 
verfügen. Die weiteren Voraussetzungen für den Betrieb 
eines Zertifizierungsdienstes liegen vor, wenn die Maß- 
nahmen zur Erfüllung der Sicherheitsanforderungen nach 
diesem Gesetz und der Rechtsverordnung nach § 24 Nr. 1 
und 3 der zuständigen Behörde in einem Sicherheitskonzept 
aufgezeigt und geeignet und praktisch umgesetzt sind. 

(3) Wer den Betrieb eines Zertifizierungsdienstes auf- 
nimmt, hat dies der zuständigen Behörde spätestens mit der 
Betriebsaufnahme anzuzeigen. Mit der Anzeige ist in geeig- 
neter Form darzulegen, dass die Voraussetzungen nach Ab- 
satz 2 vorliegen. 

(4) Die Erfüllung der Voraussetzungen nach Absatz 2 ist 
über die gesamte Zeitdauer der Tätigkeit des Zertifizie- 
rungsdienstes sicherzustellen. Umstände, die dies nicht 
mehr ermöglichen, sind der zuständigen Behörde unverzüg- 
lich anzuzeigen. 

(5) Der Zertifizierungsdiensteanbieter kann unter Einbe- 
ziehung in sein Sicherheitskonzept nach Absatz 2 Satz 4 
Aufgaben nach diesem Gesetz und der Rechtsverordnung 
nach § 24 an Dritte übertragen. 

§5 

Vergabe von qualifizierten Zertifikaten 

(1) Der Zertifizierungsdiensteanbieter hat Personen, die 
ein qualifiziertes Zertifikat beantragen, zuverlässig zu iden- 
tifizieren. Er hat die Zuordnung eines Signaturprüfschlüs- 
sels zu einer identifizierten Person durch ein qualifiziertes 
Zertifikat zu bestätigen und dieses jederzeit für jeden über 
öffentlich erreichbare Kommunikationsverbindungen nach- 
prüfbar und abrufbar zu halten. Ein qualifiziertes Zertifikat 
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darf nur mit Zustimmung des Signaturschlüssel-Inhabers 
abrufbar gehalten werden. 

(2) Ein qualifiziertes Zertifikat kann auf Verlangen eines 
Antragstellers Angaben über seine Vertretungsmacht für 
eine dritte Person sowie berufsbezogene oder sonstige An- 
gaben zu seiner Person (Attribute) enthalten. Hinsichtlich 
der Angaben über die Vertretungsmacht ist die Einwilligung 
der dritten Person nachzuweisen; berufsbezogene oder 
sonstige Angaben zur Person sind durch die für die berufs- 
bezogenen oder sonstigen Angaben zuständige Stelle zu be- 
stätigen. Angaben über die Vertretungsmacht für eine dritte 
Person dürfen nur bei Nachweis der Einwilligung nach 
Satz 2, berufsbezogene oder sonstige Angaben des Antrag- 
stellers zur Person nur bei Vorlage der Bestätigung nach 
Satz 2 in ein qualifiziertes Zertifikat aufgenommen werden. 
Weitere personenbezogene Angaben dürfen in ein qualifi- 
ziertes Zertifikat nur mit Einwilligung des Betroffenen auf- 
genommen werden. 

(3) Der Zertifizierungsdiensteanbieter hat auf Verlangen 
eines Antragstellers in einem qualifizierten Zertifikat an- 
stelle seines Namens ein Pseudonym aufzuführen. Enthält 
ein qualifiziertes Zertifikat Angaben über eine Vertretungs- 
macht für eine dritte Person oder berufsbezogene oder sons- 
tige Angaben zur Person, ist eine Einwilligung der dritten 
Person oder der für die berufsbezogenen oder sonstigen An- 
gaben zuständigen Stelle zur Verwendung des Pseudonyms 
erforderlich. 

(4) Der Zertifizierungsdiensteanbieter hat Vorkehrungen 
zu treffen, damit Daten für qualifizierte Zertifikate nicht 
unbemerkt gefälscht oder verfälscht werden können. Er hat 
weiter Vorkehrungen zu treffen, um die Geheimhaltung der 
Signaturschlüssel zu gewährleisten. Eine Speicherung von 
Signaturschlüsseln außerhalb der sicheren Signaturerstel- 
lungseinheit ist unzulässig. 

(5) Der Zertifizierungsdiensteanbieter hat für die Aus- 
übung der Zertifizierungstätigkeit zuverlässiges Personal 
und Produkte für elektronische Signaturen nach diesem Ge- 
setz und der Rechtsverordnung nach § 24 einzusetzen. 

(6) Der Zertifizierungsdiensteanbieter hat sich in geeig- 
neter Weise zu überzeugen, dass der Antragsteller die zuge- 
hörige sichere Signaturerstellungseinheit besitzt. 

§6 

Unterrichtungspfhcht 

(1) Der Zertifizierungsdiensteanbieter hat den Antragstel- 
ler nach § 5 Abs. 1 über die Maßnahmen zu unterrichten, 
die erforderlich sind, um zur Sicherheit von qualifizierten 
elektronischen Signaturen und zu deren zuverlässiger Prü- 
fung beizutragen. Er hat den Antragsteller darauf hinzuwei- 
sen, dass Daten mit einer qualifizierten elektronischen Sig- 
natur bei Bedarf neu zu signieren sind, bevor der Sicher- 
heitswert der vorhandenen Signatur durch Zeitablauf gerin- 
ger wird. 

(2) Der Zertifizierungsdiensteanbieter hat den Antragstel- 
ler darüber zu unterrichten, dass eine qualifizierte elektroni- 
sche Signatur im Rechtsverkehr die gleiche Wirkung hat 
wie eine eigenhändige Unterschrift, wenn durch Gesetz 
nicht ein anderes bestimmt ist. Zu diesem Zweck ist dem 
Antragsteller eine schriftliche Belehrung auszuhändigen. 


deren Kenntnisnahme dieser durch gesonderte Unterschrift 
zu bestätigen hat. Die elektronische Form ist bei der erstma- 
ligen Antragstehung nicht zugelassen. 

Inhalt von qualifizierten Zertifikaten 

(1) Ein qualifiziertes Zertifikat muss folgende Angaben 
enthalten und eine qualifizierte elektronische Signatur tra- 
gen: 

1. den Namen des Signaturschlüssel-Inhabers, der im Falle 
einer Verwechslungsmöglichkeh mit einem Zusatz zu 
versehen ist, oder ein dem Signaturschlüssel-Inhaber zu- 
geordnetes unverwechselbares Pseudonym, das als sol- 
ches kenntlich sein muss, 

2. den zugeordneten Signaturprüfschlüssel, 

3. die Bezeichnung der Algorithmen, mit denen der Sig- 
naturprüfschlüssel des Signaturschlüssel-Inhabers so- 
wie der Signaturprüfschlüssel des Zertifizierungsdienste- 
anbieters benutzt werden kann, 

4. die laufende Nummer des Zertifikates, 

5. Beginn und Ende der Gültigkeit des Zertifikates, 

6. den Namen des Zertifizierungsdiensteanbieters und des 
Staates, in dem er niedergelassen ist, 

7. Angaben darüber, ob die Nutzung des Signaturschlüssels 
auf bestimmte Anwendungen nach Art oder Umfang be- 
schränkt ist, 

8. Angaben, dass es sich um ein qualifiziertes Zertifikat 
handelt, und 

9. nach Bedarf Attribute des Signaturschlüssel-Inhabers. 

(2) Attribute können auch in ein gesondertes qualifizier- 
tes Zertifikat (qualifiziertes Attribut-Zertifikat) aufgenom- 
men werden. Bei einem qualifizierten Attribut-Zertifikat 
können die Angaben nach Absatz 1 durch eindeutige Refe- 
renzdaten des qualifizierten Zertifikates, auf das sie Bezug 
nehmen, ersetzt werden, soweit sie nicht für die Nutzung 
des qualifizierten Attribut-Zertifikats benötigt werden. 

§8 

Sperrung von qualifizierten Zertifikaten 

(1) Der Zertifizierungsdiensteanbieter hat ein qualifizier- 
tes Zertifikat unverzüglich zu sperren, wenn ein Signatur- 
schlüssel-Inhaber oder sein Vertreter es verlangt, das Zertifi- 
kat auf Grund falscher Angaben zu § 7 ausgestellt wurde, 
der Zertifizierungsdiensteanbieter seine Tätigkeit beendet 
und diese nicht von einem anderen Zertifizierungsdienste- 
anbieter fortgeführt wird oder die zuständige Behörde ge- 
mäß § 19 Abs. 4 eine Sperrung anordnet. Die Sperrung 
muss den Zeitpunkt enthalten, von dem an sie gilt. Eine 
rückwirkende Sperrung ist unzulässig. Wurde ein qualifi- 
ziertes Zertifikat mit falschen Angaben ausgestellt, kann 
der Zertifizierungsdiensteanbieter dies zusätzlich kenntlich 
machen. 

(2) Enthält ein qualifiziertes Zertifikat Angaben nach § 5 
Abs. 2, so kann auch die dritte Person oder die für die be- 
rufsbezogenen oder sonstigen Angaben zur Person zustän- 
dige Stelle, wenn die Voraussetzungen für die berufsbezo- 
genen oder sonstigen Angaben zur Person nach Aufnahme 




Drucksache 14/4662 


Deutscher Bundestag - 14. Wahlperiode 


in das qualifizierte Zertifikat entfallen, eine Sperrung des 
betreffenden Zertifikates nach Absatz 1 verlangen. 

§9 

Qualifizierte Zeitstempel 

Stellt ein Zertifizierungsdiensteanbieter qualifizierte Zeit- 
stempel aus, so gilt § 5 Abs. 5 entsprechend. 

§10 

Dokumentation 

(1) Der Zertifizierungsdiensteanbieter hat die Sicher- 
heitsmaßnahmen zur Einhaltung dieses Gesetzes und der 
Rechtsverordnung nach § 24 Nr. 1 und 3 sowie die ausge- 
stellten qualifizierten Zertifikate nach Maßgabe des Satzes 2 
so zu dokumentieren, dass die Daten und ihre Unver- 
fälschtheit jederzeit nachprüfbar sind. Die Dokumentation 
muss unverzüglich so erfolgen, dass sie nachträglich nicht 
unbemerkt verändert werden kann. Dies gilt insbesondere 
für die Ausstellung und Sperrung von qualifizierten Zertifi- 
katen. 

(2) Dem Signaturschlüssel-Inhaber ist auf Verlangen Ein- 
sicht in die ihn betreffenden Daten und Verfahrensschritte 
zu gewähren. 

§ 11 

Haftung 

(1) Verletzt ein Zertifizierungsdiensteanbieter die Anfor- 
derungen dieses Gesetzes und der Rechtsverordnung nach 
§ 24 oder versagen seine Produkte für elektronische Signa- 
turen oder sonstige technische Sicherungseinrichtungen, so 
hat er einem Dritten den Schaden zu ersetzen, den dieser da- 
durch erleidet, dass er auf die Angaben in einem qualifizier- 
ten Zertifikat, einem qualifizierten Zeitstempel oder einer 
Auskunft nach § 5 Abs. 1 Satz 2 vertraut. Die Ersatzpfiicht 
tritt nicht ein, wenn der Dritte die Fehlerhaftigkeit der An- 
gabe kannte oder kennen musste. 

(2) Die Ersatzpfiicht des Zertifizierungsdiensteanbieters 
ist ausgeschlossen, wenn er die Verletzung nicht zu vertre- 
ten hat. 

(3) Wenn ein qualifiziertes Zertifikat die Nutzung des 
Signaturschlüssels auf bestimmte Anwendungen nach Art 
oder Umfang beschränkt, tritt die Ersatzpflicht nur im Rah- 
men dieser Beschränkungen ein. 

(4) Der Zertifizierungsdiensteanbieter haftet für beauf- 
tragte Dritte nach § 4 Abs. 5 und beim Einstehen für auslän- 
dische Zertifikate nach § 23 Abs. 1 Nr. 2 wie für eigenes 
Handeln. § 83 1 Abs. 1 Satz 2 des Bürgerlichen Gesetzbuchs 
findet keine Anwendung. 

§ 12 

Deckungsvorsorge 

Der Zertifizierungsdiensteanbieter ist verpflichtet, eine ge- 
eignete Vorsorge zur Deckung der durch den Betrieb eines 
Zertifizierungsdienstes schuldhaft verursachten Schäden zu 
treffen. Die Mindestsumme beträgt 500 000 Deutsche Mark 
für einen durch ein haftungsauslösendes Ereignis der in § 1 1 
bezeichneten Art verursachten Schaden. 


§13 

Einstellung der Tätigkeit 

(1) Der Zertifizierungsdiensteanbieter hat die Einstellung 
seiner Tätigkeit unverzüglich der zuständigen Behörde an- 
zuzeigen. Er hat dafür zu sorgen, dass die bei Einstellung 
der Tätigkeit gültigen qualifizierten Zertifikate von einem 
anderen Zertifizierungsdiensteanbieter übernommen wer- 
den, oder diese zu sperren. Er hat die betroffenen Signatur- 
schlüssel-lnhaber über die Einstellung seiner Tätigkeit und 
die Übernahme der qualifizierten Zertifikate durch einen an- 
deren Zertifizierungsdiensteanbieter zu benachrichtigen. 

(2) Der Zertifizierungsdiensteanbieter hat die Dokumen- 
tation nach § 10 an den Zertifizierungsdiensteanbieter, wel- 
cher die Zertifikate nach Absatz 1 übernimmt, zu über- 
geben. 

(3) Der Zertifizierungsdiensteanbieter hat einen Antrag 
auf Eröffnung eines Insolvenzverfahrens der zuständigen 
Behörde unverzüglich anzuzeigen. 

§14 

Datenschutz 

(1) Der Zertifizierungsdiensteanbieter darf personenbe- 
zogene Daten nur unmittelbar beim Betroffenen selbst und 
nur insoweit erheben, als dies für Zwecke eines qualifizier- 
ten Zertifikates erforderlich ist. Eine Datenerhebung bei 
Dritten ist nur mit Einwilligung des Betroffenen zulässig. 
Für andere als die in Satz 1 genannten Zwecke dürfen die 
Daten nur verwendet werden, wenn dieses Gesetz es erlaubt 
oder der Betroffene eingewilligt hat. 

(2) Bei einem Signaturschlüssel-Inhaber mit Pseudonym 
hat der Zertifizierungsdiensteanbieter die Daten über dessen 
Identität auf Ersuchen an die zuständigen Stellen zu über- 
mitteln, soweit dies für die Verfolgung von Straftaten oder 
Ordnungswidrigkeiten, zur Abwehr von Gefahren für die 
öffentliche Sicherheit oder Ordnung oder für die Erfüllung 
der gesetzlichen Aufgaben der Verfassungsschutzbehörden 
des Bundes und der Länder, des Bundesnachrichtendienstes, 
des Militärischen Abschirmdienstes oder der Finanzbehör- 
den erforderlich ist oder soweit Gerichte dies im Rahmen 
anhängiger Verfahren anordnen. Die Auskünfte sind zu do- 
kumentieren. Die ersuchende Behörde hat den Signatur- 
schlüssel-Inhaber über die Aufdeckung des Pseudonyms zu 
unterrichten, sobald dadurch die Wahrnehmung der gesetz- 
lichen Aufgaben nicht mehr beeinträchtigt wird oder wenn 
das Interesse des Signaturschlüssel-Inhabers an der Unter- 
richtung überwiegt. 

(3) Soweit andere als die in § 2 Nr. 8 genannten Zertifi- 
zierungsdiensteanbieter Zertifikate für elektronische Signa- 
turen ausstellen, gelten die Absätze 1 und 2 entsprechend. 

Dritter Abschnitt 
Freiwillige Akkreditierung 

§15 

Freiwillige Akkreditierung von Zertifizierungs- 
diensteanbietern 

(1) Zertifizierungsdiensteanbieter können sich auf Antrag 
von der zuständigen Behörde akkreditieren lassen; die zu- 
ständige Behörde kann sich bei der Akkreditierung privater 
Stellen bedienen. Die Akkreditierung ist zu erteilen, wenn 
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der Zertifizierungsdiensteanbieter nachweist, dass die Vor- 
schriften nach diesem Gesetz und der Rechtsverordnung 
nach § 24 erfüllt sind. Akkreditierte Zertifizierungsdienste- 
anbieter erhalten ein Gütezeichen der zuständigen Behörde. 
Mit diesem wird der Nachweis der umfassend geprüften 
technischen und administrativen Sicherheit für die auf ihren 
qualifizierten Zertifikaten beruhenden qualifizierten elektro- 
nischen Signaturen zum Ausdruck gebracht. Sie dürfen sich 
als akkreditierte Zertifizierungsdiensteanbieter bezeichnen 
und sich im Rechts- und Geschäftsverkehr auf die nachge- 
wiesene Sicherheit berufen. 

(2) Für den öffentlichen Bereich können qualifizierte 
elektronische Signaturen, die auf einem qualifizierten Zerti- 
fikat eines Zertifizierungsdiensteanbieters nach Absatz 1 be- 
ruhen, durch Rechtsvorschrift verlangt werden. 

(3) Zur Erfüllung der Voraussetzungen nach Absatz 1 
muss das Sicherheitskonzept nach § 4 Abs. 2 Satz 4 durch 
eine Stelle nach § 18 umfassend auf seine Eignung und 
praktische Umsetzung geprüft und bestätigt sein. Die Prü- 
fung und Bestätigung ist nach sicherheitserheblichen Verän- 
derungen sowie in regelmäßigen Zeitabständen zu wieder- 
holen. 

(4) Die Akkreditierung kann mit Nebenbestimmungen 
versehen werden, soweit dies erforderlich ist, um die Erfül- 
lung der Voraussetzungen nach diesem Gesetz und der 
Rechtsverordnung nach § 24 bei Aufnahme und während 
des Betriebes sicherzustellen. 

(5) Die Akkreditierung ist zu versagen, wenn die Voraus- 
setzungen nach diesem Gesetz und der Rechtsverordnung 
nach § 24 nicht erfüllt sind; § 19 findet entsprechend An- 
wendung. 

(6) Bei Nichterfüllung der Pflichten aus diesem Gesetz 
oder der Rechtsverordnung nach § 24 oder bei Vorhegen 
eines Versagungsgrundes nach Absatz 5 hat die zuständige 
Behörde die Akkreditierung zu widerrufen oder diese, so- 
weit die Gründe bereits zum Zeitpunkt der Akkreditierung 
Vorlagen, zurückzunehmen, wenn Maßnahmen nach § 19 
Abs. 2 keinen Erfolg versprechen. 

(7) Im Falle des Widerrufs oder der Rücknahme einer 
Akkreditierung oder im Falle der Einstellung der Tätigkeit 
eines akkreditierten Zertifizierungsdiensteanbieters hat die 
zuständige Behörde eine Übernahme der Tätigkeit durch 
einen anderen akkreditierten Zertifizierungsdiensteanbieter 
oder die Abwicklung der Verträge mit den Signaturschlüs- 
sel-lnhabem sicherzustellen. Dies gilt auch bei Antrag auf 
Eröffnung eines Insolvenzverfahrens, wenn die Tätigkeit 
nicht fortgesetzt wird. Übernimmt kein anderer akkreditier- 
ter Zertifizierungsdiensteanbieter die Dokumentation gemäß 
§ 13 Abs. 2, so hat die zuständige Behörde diese zu über- 
nehmen. 

(8) Bei Produkten für elektronische Signaturen muss die 
Erfüllung der Anforderungen nach § 17 Abs. 1 bis 3 und der 
Rechtsverordnung nach § 24 nach dem Stand von Wissen- 
schaft und Technik hinreichend geprüft und durch eine 
Stehe nach § 18 bestätigt worden sein; Absatz 1 Satz 3 fin- 
det entsprechende Anwendung. Der akkreditierte Zertifizie- 
rungsdiensteanbieter hat 


1. für seine Zertifizierungstätigkeit nur nach Satz 1 ge- 
prüfte und bestätigte Produkte für elektronische Signatu- 
ren einzusetzen, 

2. qualifizierte Zertifikate nur für Personen auszustellen, 
die nachweislich nach Satz 1 geprüfte und bestätigte si- 
chere Signaturerstellungseinheiten besitzen, und 

3. die Signaturschlüssel-Inhaber im Rahmen des § 6 Abs. 1 
über nach Satz 1 geprüfte und bestätigte Signaturanwen- 
dungskomponenten zu unterrichten. 

§ 16 

Zertifikate der zuständigen Behörde 

(1) Die zuständige Behörde stellt den akkreditierten Zer- 
tifizierungsdiensteanbietem die für ihre Tätigkeit benötig- 
ten qualifizierten Zertifikate aus. Die Vorschriften für die 
Vergabe von qualifizierten Zertifikaten durch akkreditierte 
Zertifizierungsdiensteanbieter gehen für die zuständige 
Behörde entsprechend. Sie sperrt von ihr ausgestellte quali- 
fizierte Zertifikate, wenn ein akkreditierter Zertifizierungs- 
diensteanbieter seine Tätigkeit einstellt oder wenn eine Ak- 
kreditierung zurückgenommen oder widerrufen wird. 

(2) Die zuständige Behörde hat 

1. die Namen, Anschriften und Kommunikationsverbin- 
dungen der akkreditierten Zertifizierungsdiensteanbieter, 

2. den Widerruf oder die Rücknahme einer Akkreditierung, 

3. die von ihr ausgestellten qualifizierten Zertifikate und 
deren Sperrung und 

4. die Beendigung und die Untersagung des Betriebes eines 
akkreditierten Zertifizierungsdiensteanbieters 

jederzeit für jeden über öffentlich erreichbare Kommunika- 
tionsverbindungen nachprüfbar und abrufbar zu halten. 

(3) Bei Bedarf stellt die zuständige Behörde auch die von 
den Zertifizierungsdiensteanbietern oder Herstellern benö- 
tigten elektronischen Bescheinigungen für die automatische 
Authentifizierung von Produkten nach § 15 Abs. 8 aus. 

Vierter Abschnitt 
Technische Sicherheit 

§ 17 

Produkte für elektronische Signaturen 

(1) Für die Speicherung von Signaturschlüsseln sowie 
für die Erzeugung qualifizierter elektronischer Signaturen 
sind sichere Signaturerstellungseinheiten einzusetzen, die 
Fälschungen der Signaturen und Verfälschungen signierter 
Daten zuverlässig erkennbar machen und gegen unberech- 
tigte Nutzung der Signaturschlüssel schützen. Werden die 
Signaturschlüssel auf einer sicheren Signaturerstellungs- 
einheit selbst erzeugt, so gilt Absatz 3 Nr. 1 entsprechend. 

(2) Für die Darstellung zu signierender Daten sind Signa- 
turanwendungskomponenten erforderlich, die die Erzeu- 
gung einer qualifizierten elektronischen Signatur vorher 
eindeutig anzeigen und feststehen lassen, auf welche Daten 
sich die Signatur bezieht. Für die Überprüfung signierter 
Daten sind Signaturanwendungskomponenten erforderlich, 
die feststellen lassen, 

1 . auf welche Daten sich die Signatur bezieht. 
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2. ob die signierten Daten unverändert sind, 

3. welchem Signaturschlüssel-lnhaber die Signatur zuzu- 
ordnen ist, 

4. welche Inhalte das qualifizierte Zertifikat, auf dem die 
Signatur beruht, und zugehörige qualifizierte Attribut- 
Zertifikate aufweisen und 

5. zu welchem Ergebnis die Nachprüfung von Zertifikaten 
nach § 5 Abs. 1 Satz 2 geführt hat. 

Signaturanwendungskomponenten müssen nach Bedarf 
auch den Inhalt der zu signierenden oder signierten Daten 
hinreichend erkennen lassen. Die Signaturschlüssel-lnha- 
ber sollen solche Signaturanwendungskomponenten einset- 
zen oder andere geeignete Maßnahmen zur Sicherheit quali- 
fizierter elektronischer Signaturen treffen. 

(3) Die technischen Komponenten für Zertifizierungs- 
dienste müssen Vorkehrungen enthalten, um 

1 . bei Erzeugung und Übertragung von Signaturschlüsseln 
die Einmaligkeit und Geheimhaltung der Signatur- 
schlüssel zu gewährleisten und eine Speicherung außer- 
halb der sicheren Signaturerstellungseinheit auszuschlie- 
ßen, 

2. qualifizierte Zertifikate, die gemäß § 5 Abs. 1 Satz 2 
nachprüfbar oder abrufbar gehalten werden, vor unbe- 
fugter Veränderung und unbefugtem Abruf zu schützen 
sowie 

3. bei Erzeugung qualifizierter Zeitstempel Fälschungen 
und Verfälschungen auszuschließen. 

(4) Die Erfüllung der Anforderungen nach den 
Absätzen 1 und 3 Nr. 1 sowie der Rechtsverordnung nach 
§ 24 ist durch eine Stelle nach § 1 8 zu bestätigen. Zur Er- 
füllung der Anforderungen nach den Absätzen 2 und 3 Nr. 2 
und 3 genügt eine Erklärung durch den Hersteller des Pro- 
dukts für elektronische Signaturen. 

§ 18 

Anerkennung von Prüf- und Bestätigungsstellen 

(1) Die zuständige Behörde erkennt eine natürliche oder 
juristische Person auf Antrag als Bestätigungsstehe nach 
§ 17 Abs. 4 oder § 15 Abs. 8 Satz 1 oder als Prüf- und Be- 
stätigungsstehe nach § 15 Abs. 3 an, wenn diese die für die 
Tätigkeit erforderliche Zuverlässigkeit, Unabhängigkeit und 
Fachkunde nachweist. Die Anerkennung kann inhaltlich be- 
schränkt, vorläufig oder mit einer Befristung versehen er- 
teilt werden und mit Auflagen verbunden sein. 

(2) Die nach Absatz 1 anerkannten Stellen haben ihre 
Aufgaben unparteiisch, weisungsfrei und gewissenhaft zu 
erfüllen. Sie haben die Prüfungen und Bestätigungen zu 
dokumentieren und die Dokumentation im Falle der Ein- 
stellung ihrer Tätigkeit an die zuständige Behörde zu über- 
geben. 

Fünfter Abschnitt 
Aufsicht 

§ 19 

Aufsichtsmaßnahmen 

(1) Die Aufsicht über die Einhaltung dieses Gesetzes und 
der Rechtsverordnung nach § 24 obliegt der zuständigen 


Behörde; diese kann sich bei der Durchführung der Aufsicht 
privater Stellen bedienen. Mit der Aufnahme des Betriebes 
unterliegt ein Zertifizierungsdiensteanbieter der Aufsicht 
der zuständigen Behörde. 

(2) Die zuständige Behörde kann gegenüber Zertifizie- 
rungsdiensteanbietem Maßnahmen zur Sicherstellung der 
Einhaltung dieses Gesetzes und der Rechtsverordnung nach 
§ 24 treffen. 

(3) Die zuständige Behörde hat einem Zertifizierungs- 
diensteanbieter den Betrieb vorübergehend, teilweise oder 
ganz zu untersagen, wenn Tatsachen die Annahme rechtfer- 
tigen, dass er 

1 . nicht die für den Betrieb eines Zertifizierungsdienstes er- 
forderliche Zuverlässigkeit besitzt, 

2. nicht nachweist, dass die für den Betrieb erforderliche 
Fachkunde vorhegt, 

3 . nicht über die erforderliche Deckungsvorsorge verfügt, 

4. ungeeignete Produkte für elektronische Signaturen ver- 
wendet oder 

5. die weiteren Voraussetzungen für den Betrieb eines Zer- 
tifizierungsdienstes nach diesem Gesetz und der Rechts- 
verordnung nach § 24 nicht erfüllt 

und Maßnahmen nach Absatz 2 keinen Erfolg versprechen. 

(4) Die zuständige Behörde kann eine Sperrung von qua- 
lifizierten Zertifikaten anordnen, wenn Tatsachen die An- 
nahme rechtfertigen, dass qualifizierte Zertifikate gefälscht 
oder nicht hinreichend fälschungssicher sind oder dass si- 
chere Signaturerstellungseinheiten Sicherheitsmängel auf- 
weisen, die eine unbemerkte Fälschung qualifizierter elek- 
tronischer Signaturen oder eine unbemerkte Verfälschung 
damit signierter Daten zulassen. 

(5) Die Gültigkeit der von einem Zertifizierungsdienste- 
anbieter ausgestellten qualifizierten Zertifikate bleibt von 
der Untersagung des Betriebes und der Einstellung der 
Tätigkeit sowie der Rücknahme und dem Widerruf einer 
Akkreditierung unberührt. 

(6) Die zuständige Behörde hat die Namen der bei ihr an- 
gezeigten Zertifizierungsdiensteanbieter sowie der Zertifi- 
zierungsdiensteanbieter, die ihre Tätigkeit nach § 13 einge- 
stellt haben oder deren Betrieb nach § 19 Abs. 3 untersagt 
wurde, für jeden über öffentlich erreichbare Kommunika- 
tionsverbindungen abrutbar zu halten. 

§20 

Mitwirkungspfhcht 

(1) Die Zertifizierungsdiensteanbieter und die für diese 
nach § 4 Abs. 5 tätigen Dritten haben der zuständigen Be- 
hörde und den in ihrem Auftrag handelnden Personen das 
Betreten der Geschäfts- und Betriebsräume während der üb- 
lichen Betriebszeiten zu gestatten, auf Verlangen die in 
Betracht kommenden Bücher, Aufzeichnungen, Belege, 
Schriftstücke und sonstigen Unterlagen in geeigneter Weise 
zur Einsicht vorzulegen, auch soweit sie in elektronischer 
Form geführt werden, Auskunft zu erteilen und die erforder- 
liche Unterstützung zu gewähren. 

(2) Der zur Erteilung einer Auskunft Verpflichtete kann 
die Auskunft verweigern, wenn er sich damit selbst oder ei- 




Deutscher Bundestag - 14. Wahlperiode 


- 11 - 


Drucksache 14/4662 


nen der in § 383 Abs. 1 Nr. 1 bis 3 der Zivilprozessordnung 
bezeichneten Angehörigen der Gefahr der Verfolgung we- 
gen einer Straftat oder eines Verfahrens nach dem Gesetz 
über Ordnungswidrigkeiten aussetzen würde. Er ist auf die- 
ses Recht hinzuweisen. 

Sechster Abschnitt 
Schlussbestimmungen 

§21 

Bußgeldvorschriften 

(1) Ordnungswidrig handelt, wer vorsätzlich oder fahr- 
lässig 

1. entgegen § 4 Abs. 2 Satz 1, auch in Verbindung mit ei- 
ner Rechtsverordnung nach § 24 Nr. 1 und 3, einen 
Zertifizierungsdienst betreibt, 

2. entgegen § 4 Abs. 3 Satz 1 oder § 13 Abs. 1 Satz 1 
eine Anzeige nicht, nicht richtig oder nicht rechtzeitig 
erstattet, 

3. entgegen § 5 Abs. 1 Satz 1 in Verbindung mit einer 
Rechtsverordnung nach § 24 Nr. 1 eine Person nicht, 
nicht richtig oder nicht rechtzeitig identifiziert, 

4. entgegen § 5 Abs. 1 Satz 2, auch in Verbindung mit 
einer Rechtsverordnung nach § 24 Nr. 1, ein qualifi- 
ziertes Zertifikat nicht nachprüfbar hält, 

5. entgegen § 5 Abs. 1 Satz 3 ein qualifiziertes Zertifikat 
abrufbar hält, 

6. entgegen § 5 Abs. 2 Satz 3 oder 4 eine Angabe in ein 
qualifiziertes Zertifikat aufnimmt, 

7. entgegen § 5 Abs. 4 Satz 2, auch in Verbindung mit ei- 
ner Rechtsverordnung nach §24 Nr. 1, eine Vorkeh- 
rung nicht oder nicht richtig trifft, 

8. entgegen § 5 Abs. 4 Satz 3 einen Signaturschlüssel 
speichert, 

9. entgegen § 10 Abs. 1 Satz 1, auch in Verbindung mit 
einer Rechtsverordnung nach § 24 Nr. 1, eine Sicher- 
heitsmaßnahme oder ein qualifiziertes Zertifikat nicht, 
nicht richtig oder nicht rechtzeitig dokumentiert, 

10. entgegen § 13 Abs. 1 Satz 2, auch in Verbindung mit 
einer Rechtsverordnung nach § 24 Nr. 1, nicht dafür 
sorgt, dass ein qualifiziertes Zertifikat von einem ande- 
ren Zertifizierungsdiensteanbieter übernommen wird 
und ein qualifiziertes Zertifikat nicht oder nicht recht- 
zeitig sperrt oder 

11. entgegen § 13 Abs. 1 Satz 3 in Verbindung mit einer 
Rechtsverordnung nach § 24 Nr. 1 einen Signatur- 
schlüssel-lnhaber nicht, nicht richtig oder nicht recht- 
zeitig benachrichtigt. 

(2) Die Ordnungswidrigkeit kann in den Fällen des Ab- 
satzes 1 Nr. 1, 7 und 8 mit einer Geldbuße bis zu hundert- 
tausend Deutsche Mark, in den übrigen Fällen mit einer 
Geldbuße bis zu zwanzigtausend Deutsche Mark geahndet 
werden. 

(3) Verwaltungsbehörde im Sinne des § 36 Abs. 1 Nr. 1 
des Gesetzes über Ordnungswidrigkeiten ist die Regulie- 
rungsbehörde für Telekommunikation und Post. 


§22 

Kosten und Beiträge 

(1) Die zuständige Behörde erhebt für ihre folgenden 
Amtshandlungen Kosten (Gebühren und Auslagen): 

1 . Maßnahmen im Rahmen der freiwilligen Akkreditierung 
von Zertifizierungsdiensteanbietern nach § 15 Abs. 1, 
3 bis 8 und der Rechtsverordnung nach § 24, 

2. Maßnahmen im Rahmen der Ausstellung der qualifizier- 
ten Zertifikate nach § 16 Abs. 1 sowie der Ausstellung 
von Bescheinigungen nach § 16 Abs. 3, 

3. Maßnahmen im Rahmen der Anerkennung von Prüf- 
und Bestätigungsstellen nach § 18 und der Rechtsver- 
ordnung nach § 24, 

4. Maßnahmen im Rahmen der Aufsicht nach § 19 Abs. 1 
bis 4 in Verbindung mit § 4 Abs. 2 bis 4 und der Rechts- 
verordnung nach § 24. 

Kosten werden auch für den Verwaltungsaufwand erhoben, 
der dadurch entsteht, dass sich die Behörde bei der Durch- 
führung der Aufsicht privater Stellen bedient. Das Verwal- 
tungskostengesetz findet Anwendung. 

(2) Zertifizierungsdiensteanbieter, die den Betrieb nach 
§ 4 Abs. 3 angezeigt haben, haben zur Abgeltung des Ver- 
waltungsaufwands für die ständige Erfüllung der Vorausset- 
zungen nach § 19 Abs. 6 eine Abgabe an die zuständige Be- 
hörde zu entrichten, die als Jahresbeitrag erhoben wird. Zer- 
tifizierungsdiensteanbieter, die nach § 15 Abs. 1 akkreditiert 
sind, haben zur Abgeltung des Verwaltungsaufwands für die 
ständige Erfüllung der Voraussetzungen nach § 16 Abs. 2 
eine Abgabe an die zuständige Behörde zu entrichten, die 
als Jahresbeitrag erhoben wird. 

§ 23 

Ausländische elektronische Signaturen und 
Produkte für elektronische Signaturen 

(1) Elektronische Signaturen, die mit Signaturprüfdaten 
überprüft werden können, für die ein ausländisches qualifi- 
ziertes Zertifikat aus einem anderen Mitgliedstaat der Euro- 
päischen Union oder aus einem anderen Vertragsstaat des 
Abkommens über den Europäischen Wirtschaftsraum vor- 
liegt, sind, soweit sie Artikel 5 Abs. 1 der Richtlinie 1999/ 
93/EG des Europäischen Parlaments und des Rates vom 
13. Dezember 1999 über gemeinschaftliche Rahmenbedin- 
gungen für elektronische Signaturen (ABI. EG 2000 
Nr. L 13 S. 2) in der jeweils gehenden Fassung entsprechen, 
qualifizierten elektronischen Signaturen gleichgestellt. 
Elektronische Signaturen aus Drittstaaten sind qualifizierten 
elektronischen Signaturen gleichgestellt, wenn das Zertifi- 
kat von einem dortigen Zertifizierungsdiensteanbieter öf- 
fentlich als qualifiziertes Zertifikat ausgestellt und für eine 
elektronische Signatur im Sinne von Artikel 5 Abs. 1 der 
Richtlinie 1999/93/EG bestimmt ist und wenn 

1 . der Zertifizierungsdiensteanbieter die Anforderungen 
der Richtlinie erfüllt und in einem Mitgliedstaat der 
Europäischen Union oder einem anderen Vertragsstaat 
des Abkommens über den Europäischen Wirtschafts- 
raum akkreditiert ist oder 





Drucksache 14/4662 


- 12 - 


Deutscher Bundestag - 14. Wahlperiode 


2. ein in der Gemeinschaft niedergelassener Zertifizie- 
rungsdiensteanbieter, welcher die Anforderungen der 
Richtlinie erfüllt, für das Zertifikat einsteht oder 

3. das Zertifikat oder der Zertifizierungsdiensteanbieter im 
Rahmen einer bilateralen oder multilateralen Vereinba- 
rung zwischen der Europäischen Union und Drittstaaten 
oder internationalen Organisationen anerkannt ist. 

(2) Elektronische Signaturen nach Absatz 1 sind qualifi- 
zierten elektronischen Signaturen, die auf einem qualifizier- 
ten Zertifikat eines Zertifizierungsdiensteanbieters nach 
§15 Abs. 1 beruhen, gleichgestellt, wenn sie nachweislich 
gleichwertige Sicherheit aufweisen. 

(3) Produkte für elektronische Signaturen, bei denen in 
einem anderen Mitgliedstaat der Europäischen Union oder 
in einem anderen Vertragsstaat des Abkommens über den 
Europäischen Wirtschaftsraum festgestellt wurde, dass sie 
den Anforderungen der Richtlinie 1999/93/EG in der je- 
weils geltenden Fassung entsprechen, werden anerkannt. 
Den nach § 15 Abs. 8 geprüften Produkten für elektronische 
Signaturen werden Produkte für elektronische Signaturen 
aus einem in Satz 1 genannten Staat oder aus einem Dritt- 
staat gleichgestellt, wenn sie nachweislich gleichwertige Si- 
cherheit aufweisen. 

§24 

Rechtsverordnung 

Die Bundesregierung wird ermächtigt, durch Rechtsverord- 
nung die zur Durchführung der §§ 3 bis 23 erforderlichen 
Rechtsvorschriften zu erlassen über 

1 . die Ausgestaltung der Pflichten der Zertifizierungs- 
diensteanbieter in Bezug auf die Betriebsaufnahme und 
während des Betriebes sowie bei Einstellung des Betrie- 
bes nach § 4 Abs. 2 und 3, §§ 5, 6 Abs. 1, §§ 8, 10, 12, 
13 und 15, 

2. die gebührenpflichtigen Tatbestände und die Gebühren- 
sätze sowie die Höhe der Beiträge und das Verfahren der 
Beitragserhebung durch die zuständige Behörde; bei der 
Bemessung der Beiträge ist der Verwaltungsaufwand 
(Personal- und Sachaufwand) zugrunde zu legen soweit 
er nicht bereits durch eine Gebühr abgegolten wird, 

3. die Ausgestaltung des Inhalts und die Gültigkeitsdauer 
von qualifizierten Zertifikaten nach § 7, 

4. die näheren Anforderungen an Produkte für elektroni- 
sche Signaturen nach § 17 Abs. 1 bis 3 sowie die Prü- 
fung dieser Produkte und die Bestätigung, dass die An- 
forderungen erfüllt sind, nach § 17 Abs. 4 und § 15 
Abs. 8, 

5. die Einzelheiten des Verfahrens der Anerkennung sowie 
der Tätigkeit von Prüf- und Bestätigungsstellen nach 
§ 18, 

6. den Zeitraum sowie das Verfahren, nach dem Daten mit 
einer qualifizierten elektronischen Signatur nach § 6 
Abs. 1 Satz 2 neu signiert werden sollten, 

7. das Verfahren zur Feststellung der gleichwertigen Si- 
cherheit von ausländischen elektronischen Signaturen 
und ausländischen Produkten für elektronische Signatu- 
ren nach § 23. 


§ 25 ^ 

Übergangsvorschriften 

(1) Die nach dem Signaturgesetz vom 28. Juli 1997 
(BGBl. I S. 1870, 1872) genehmigten Zertifizierungsstellen 
gelten als akkreditiert im Sinne von § 15. Diese haben der 
zuständigen Behörde innerhalb von drei Monaten nach 
Inkrafttreten dieses Gesetzes einen Deckungsnachweis nach 
§12 vorzulegen. 

(2) Die von den Zertifizierungsstellen nach Absatz 1 bis 
zum Zeitpunkt des Inkrafttretens dieses Gesetzes nach § 5 
des Signaturgesetzes vom 28. Juli 1997 (BGBl. I S. 1870, 
1872) ausgestellten Zertifikate sind qualifizierten Zertifi- 
katen gleichgestellt. Inhaber von Zertifikaten nach Satz 1 
sind innerhalb von sechs Monaten nach Inkrafttreten dieses 
Gesetzes durch die Zertifizierungsstelle nach § 6 Abs. 2 
Satz 1 und 2 in geeigneter Weise zu unterrichten. 

(3) Die von der zuständigen Behörde erfolgten Anerken- 
nungen von Prüf- und Bestätigungsstellen nach § 4 Abs. 3 
Satz 3 und § 14 Abs. 4 des Signaturgesetzes vom 28. Juli 
1997 (BGBl. I S. 1870, 1872) behalten ihre Gültigkeit, 
soweit sie in Übereinstimmung mit § 18 dieses Gesetzes 
stehen. 

(4) Technische Komponenten, bei denen die Erfüllung 
der Anforderungen nach § 14 Abs. 4 des Signaturgesetzes 
vom 28. Juli 1997 (BGBl. I S. 1870, 1872) geprüft und be- 
stätigt wurde, sind Produkten für elektronische Signaturen 
nach § 15 Abs. 8 dieses Gesetzes gleichgestellt. 


Artikel 2 

Umstellung von Vorsehriften auf Euro 

Das Signaturgesetz vom ... (BGBl. I S. ...) wird wie folgt 

geändert: 

1. In § 12 Satz 2 wird die Angabe „500 000 Deutsche 
Mark“ durch die Angabe „250 000 Euro“ ersetzt. 

2. In § 21 Abs. 2 werden die Wörter „hunderttausend Deut- 
sche Mark“ durch die Wörter „fünfzigtausend Euro“ und 
die Wörter „zwanzigtausend Deutsche Mark“ durch die 
Wörter „zehntausend Euro“ ersetzt. 


Artikel 3 

Anpassung von Bundesrecht 

(1) In § 15 Satz 2 der Verordnung über die Vergabe 
öffentlicher Aufträge vom ... 2000 (BGBl. IS....) werden 
die Wörter „Signatur im Sinne des Signaturgesetzes“ durch 
die Wörter „einer qualifizierten elektronischen Signatur 
nach dem Signaturgesetz“ ersetzt. 

(2) In § 7 Abs. 3 der Sozialversicherungs-Rechnungs- 
verordnung vom 15. Juli 1999 (BGBl. I S. 1627) wird die 
Angabe „digitalen Signatur nach § 2 Abs. 1 des Signa- 
turgesetzes (Artikel 3 des Gesetzes vom 22. Juli 1997, 
BGBl. I S. 1870, 1872)“ durch die Wörter „einer qualifi- 
zierten elektronischen Signatur nach dem Signaturgesetz“ 
ersetzt. 
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Artikel 4 

Rückkehr zum einheitlichen Verordnungsrang 

Die auf Artikel 3 Abs. 1 und 2 beruhenden Teile der dort ge- 
änderten Rechtsverordnung können auf Grund der jeweils 
einschlägigen Ermächtigungen durch Rechtsverordnung ge- 
ändert werden. 


Artikel 5 

Inkrafttreten; Außerkrafttreten 

Dieses Gesetz tritt vorbehaltlich des Satzes 2 am Tage nach 
der Verkündung in Kraft; gleichzeitig tritt das Signaturgesetz 
vom 28. Juli 1997 (BGBl. 1 S. 1870, 1872) außer Kraft. 
Artikel 2 tritt am 1. Januar 2002 in Kraft. 
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Begründung 


A. Allgemeines 

I. Ausgangslage 

Die elektronische Signatur ermöglicht es, im elektronischen 
Rechts- und Geschäftsverkehr den Urheber und die Integri- 
tät von Daten festzustellen. Die elektronische Signatur kann 
ein Substitut zur handschriftlichen Unterschrift darstellen 
und hierdurch eine entsprechende Rechtswirkung entfalten, 
wenn die rechtlichen Voraussetzungen hierfür bestehen. 
Elektronische Signaturen schaffen somit eine wichtige 
Grundlage für das Vertrauen in die neuen Informations- und 
Kommunikationsdienste. 

Seit dem 1. August 1997 gilt das Gesetz zur digitalen Signa- 
tur (Signaturgesetz - SigG, BGBl. 1 S. 1870, 1872), das im 
Rahmen des Informations- und Kommunikationsdienste- 
Gesetzes (luKDG) verabschiedet worden ist. Die bisher im 
Rechts- und Geschäftsverkehr vor allem bekannten digita- 
len Signaturen sind von dem technologieoffeneren Begriff 
der elektronischen Signaturen mit umfasst (vgl. Teil B. zu 
Artikel 1, § 2 Nr. 1 bis 3). Digitale bzw. elektronische 
Signaturen erfordern entsprechende Sicherheitsinfrastruktu- 
ren, wie sie beispielsweise im geltenden Signaturgesetz ge- 
regelt sind. 

Bei der Verabschiedung des Informations- und Kommuni- 
kationsdienste-Gesetzes (luKDG) hat der Deutsche Bundes- 
tag die Bundesregierung aufgefordert, unter anderem auch 
die Entwicklung bei den digitalen Signaturen zu beobachten 
und spätestens zwei Jahre nach Inkrafttreten des Gesetzes 
zu berichten, ob und ggf. in welchen Bereichen Anpas- 
sungsbedarfbesteht (Beschluss des Deutschen Bundestages 
vom 11. Juni 1997 - Bundestagsdrucksache 13/7935). 

Am 18. Juni 1999 wurde dem Deutschen Bundestag der 
Bericht der Bundesregierung über die Erfahrungen und 
Entwicklungen bei den neuen Informations- und Kommuni- 
kationsdiensten im Zusammenhang mit der Umsetzung 
des Informations- und Kommunikationsdienste-Gesetzes 
(luKDG) (Bundestagsdrucksache 14/1191; im Folgenden: 
luKDG-Bericht) vorgelegt. Darin wird festgestellt, dass sich 
die für digitale (bzw. elektronische) Signaturen erforder- 
liche Sicherheitsinfrastruktur zügig entwickelt, endgültige 
Schlussfolgerungen jedoch verfrüht sind, da der Einsatz und 
die Nutzung dieser Signaturen in Deutschland und weltweit 
noch am Anfang stehen. In Bezug auf das geltende Gesetz 
werden punktuelle technische Verbesserungen vorgeschla- 
gen. Im luKDG-Bericht wurde vorgeschlagen, die notwen- 
digen Anpassungen in die Umsetzung der zum Berichtszeit- 
punkt noch in der Beratung befindlichen EG-Richtlinie über 
Rahmenbedingungen für elektronische Signaturen einzu- 
beziehen. 

Im gleichen Jahr wurde die Richtlinie 1999/93/EG des 
Europäischen Parlaments und des Rates vom 13. Dezember 
1 999 über gemeinschaftliche Rahmenbedingungen für elekt- 
ronische Signaturen (ABI. EG L Nr. 13 v. 19. Januar 2000, 


S. 12 ff; im folgenden EGSRL) verabschiedet, die jetzt 
umzusetzen ist. 

Die Voraussetzungen für eine rasche Umsetzung der Richt- 
linie bestehen und die Notwendigkeit hierfür ist gegeben. 
Deutschland verfügt mit dem Signaturgesetz seit 1997 über 
einheitliche gesetzliche Regelungen für digitale Signaturen. 
Die annähernd dreijährige Phase der Umsetzung des Geset- 
zes hat Deutschland damit einen erheblichen Erfahrungs- 
vorsprung verschafft und seine Vorreiterrolle in Europa und 
international auf diesem Gebiet gefestigt. Es gilt nun, diese 
Position durch eine zügige Umsetzung der Richtlinie zu er- 
halten. Deutschland verfügt inzwischen über eine flächen- 
deckende IT-Sicherheitsinfrastruktur (Einrichtung gesetzes- 
konformer Zertifizierungsdienste, technischer Komponen- 
ten und geeigneter Prüf- und Bestätigungsstellen). 

Die Regulierungsbehörde für Telekommunikation und Post 
als zuständige Behörde nach geltendem Signaturgesetz und 
nach dem Gesetzentwurf hat einen eigenen Zertifizierungs- 
dienst eingerichtet, der seit dem 23. September 1998 in Be- 
trieb ist. Im Dezember 1998 hat die Regulierungsbehörde 
die erste Genehmigung für den Betrieb eines privaten Zerti- 
fizierungsdienstes erteilt. Die Deutsche Telekom AG und 
die Deutsche Post AG bieten inzwischen bundesweit Leis- 
tungen nach dem geltenden Signaturgesetz an. Weitere Zer- 
tifizierungsdiensteanbieter stehen vor dem Markteintritt. 
Eine Reihe von Zertifizierungsdiensteanbietem, darunter 
auch solche, die den Markteintritt in der nächsten Zeit vor- 
bereiten, haben sich zwischenzeitlich auf einen gemein- 
samen technischen Standard für gesetzeskonforme Signatu- 
ren geeinigt. Damit können die Anwender von elektroni- 
schen Signaturen mit einer technischen Ausstattung die 
Leistungen verschiedener Anbieter nutzen. 

II. Allgemeine Vorgaben 
1. Zielsetzung 

Der Gesetzentwurf dient der Ablösung des geltenden Signa- 
turgesetzes vom 1. August 1997. Der Entwurf verfolgt zwei 
Ziele: 

- Erstens dient er der Umsetzung der Richtlinie. Die 
Richtlinie ist am 19. Januar 2000 in Kraft getreten. Die 
Umsetzungsfrist für die Richtlinie läuft am 19. Juli 2001 
ab. Es wird angestrebt, noch vor Ablauf der Umset- 
zungsfrist die Richtlinie in Deutschland bis Anfang 200 1 
umzusetzen. 

- Zweitens greift er die Ergebnisse der Evaluierung des 
geltenden Signaturgesetzes auf, wie sie im luKDG- 
Bericht der Bundesregierung vom 18. Juni 1999 nieder- 
gelegt sind. Die Ergebnisse der Evaluierung werden in- 
soweit in den Gesetzentwurf aufgenommen, als diese im 
Einklang mit der Richtlinie stehen. 

Wegen der erheblichen strukturellen und inhaltlichen Ände- 
rungen gegenüber dem geltenden Signaturgesetz soll dieses 
durch den vorgelegten Gesetzentwurf insgesamt abgelöst 
werden. 
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2. Gesetzgebungskompetenz 

Die Gesetzgebungskompetenz ergibt sich aus Artikel 74 
Abs. 1 Nr. 11 Grundgesetz. Die besondere Bedeutung der 
elektronischen Signaturen für den Wirtschaftsstandort 
Deutschland, ihre grenzüberschreitenden Wirkungen und 
insbesondere die Tatsache, dass qualifizierte elektronische 
Signaturen ein Substitut zur handschriftlichen Unterschrift 
darstellen können und hierfür eine entsprechende Sicher- 
heitsinfrastruktur benötigen, machen einheitliche Rahmen- 
bedingungen unabdingbar erforderlich. Die Regelung durch 
Bundesgesetz ist deshalb zur Wahrung der Rechts- und 
Wirtschaftseinheit im gesamtstaatlichen Interesse erforder- 
lich (Artikel 72 Abs. 2 GG). 

3. Preise 

Das Gesetz wird keine Auswirkungen auf das allgemeine 
Preisniveau haben. 

4. Kosten 

Mit diesem Gesetz sind folgende - im Vergleich zum gel- 
tenden Signaturgesetz - zusätzlichen Kosten verbunden: 

Kosten entstehen im Zusammenhang mit dem nach 
Artikel 3 der Richtlinie vorgeschriebenen Überwachungs- 
system für Zertifizierungsdienste bei der nach § 3 SigG-E 
zuständigen Behörde, der Regulierungsbehörde für Tele- 
kommunikation und Post (RegTP). Soweit hierdurch zu- 
sätzlicher Personal- und Sachaufwand entsteht, wird dieser 
durch Gebühren und Beiträge abgedeckt. Im Einzelnen wird 
hierüber im Rahmen der jeweiligen Haushaltsaufstellung 
entschieden. 

Für Kosten, die im Zusammenhang mit dem Führen eines 
online abrufbaren Verzeichnisses nach §§16 Abs. 2 und 
19 Abs. 6 SigG-E entstehen, ist die Erhebung eines Jahres- 
beitrages vorgesehen. Fiskalisches Ziel ist die Deckung die- 
ser Kosten. Hierbei soll bei der Bemessung des Jahresbei- 
trages die Tatsache Berücksichtigung finden, dass zum Zeit- 
punkt des Gesetzentwurfs nur wenige Anbieter am Markt 
sind. Aus diesem Grund ist bei der Festlegung der Höhe des 
Beitrages mit Blick auf die wirtschaftliche Zumutbarkeit für 
die Betroffenen eine Flexibilisierung vorgesehen. 

Weitere Kosten sind nicht zu erwarten. Dies betrifft auch die 
Einführung des freiwilligen Akkreditierungssystems (vgl. 
§15 SigG-E). Für das Akkreditierungsverfahren kann auf 
die für die Genehmigung nach dem geltenden SigG bereits 
geschaffene Infrastruktur bei der Regulierungsbehörde für 
Telekommunikation und Post zurückgegriffen werden. 

Die Länder und Gemeinden werden nicht mit zusätzlichen 
Verwaltungskosten belastet. Das Verwaltungskostengesetz 
bleibt unberührt. 

Den aufgeführten Kosten steht ein weitaus höheres betriebs- 
und volkswirtschaftliches Rationalisierungspotenzial, das 
mit der Nutzung (EG-einheitlicher) qualifizierter elektroni- 
scher Signaturen nach dem Signaturgesetz verbunden ist, 
gegenüber. Qualifizierte elektronische Signaturen ermög- 
lichen es, nach Abschluss der vorgesehenen Rechtsände- 
rungen (z. B. Einführung der „elektronischen Form“ nach 
§ 126a BGB-E als Äquivalent zur Schriftform nach § 126 


BGB) das herkömmliche Schriftdokument weitgehend 
durch das elektronische Dokument zu ersetzen. 

Das Gesetz bildet damit eine wichtige Voraussetzung für 
eine erhebliche Effizienzsteigerung der Verwaltungen in 
Wirtschaft und Behörden. Zugleich gibt das Gesetz mit 
seinen EG-einheitlichen Rahmenbedingungen einen wichti- 
gen Impuls für einen neuen Wirtschaftszweig der Daten- 
sicherheit (Zertifizierungsdienste, Produkte für elektroni- 
sche Signaturen und Datensicherheit, Prüf- und Bestäti- 
gungsstellen) sowie für eine beschleunigte Modernisierung 
der Verwaltungen in Wirtschaft und Behörden. Die dafür 
notwendigen Investitionen kommen wiederum dem Arbeits- 
markt zugute. Da sich der Umstieg auf das elektronische 
Dokument und den elektronischen Geschäftsverkehr welt- 
weit rasch vollziehen dürfte, ergeben sich für die (EG-ein- 
heitlichen) Leistungen und Produkte nach dem Signaturge- 
setz auch Exportchancen für Unternehmen in Deutschland, 
die aufgrund der bereits bestehenden Erfahrungen und In- 
frastrukturen im Rahmen des geltenden Signaturgesetzes 
zum Teil bereits genutzt werden. 

Schließlich leistet das Gesetz einen Beitrag zur Entlastung 
von Verkehr und Umwelt, indem Leistungen und Produkte 
auch online sicher bereitgestellt werden können (z. B. durch 
Telearbeit oder Online-Übermittlung von Software). 

Die Regelungen führen daher bei einer Gesamtbetrachtung 
zu einer Entlastung in Wirtschaft und Verwaltung. Von der 
Förderung des Wettbewerbs gehen tendenziell dämpfende 
Einflüsse auf Einzelpreise aus. Auswirkungen auf das Preis- 
niveau, insbesondere das Verbraucherpreisniveau, sind nicht 
zu erwarten. 

III. Im Einzelnen 

1. Grundzüge der Richtlinie und Übersicht über die 
Umsetzung 

Die Richtlinie soll gemäß Artikel 1 die Verwendung elek- 
tronischer Signaturen erleichtern und zu ihrer rechtlichen 
Anerkennung beitragen. Sie legt rechtliche Rahmenbedin- 
gungen für elektronische Signaturen fest, damit das rei- 
bungslose Funktionieren des Binnenmarktes gewährleistet 
ist. Dies wird durch die Bezeichnung des Gesetzes und die 
Zweckbestimmung in § 1 Abs. 1 SigG-E abgebildet. 

In Artikel 2 EGSRL werden die in der Richtlinie verwende- 
ten Fachbegriffe definiert. Die Begriffsbestimmungen wer- 
den in § 2 SigG-E unmittelbar bzw. sinngemäß aus der 
Richtlinie übernommen. 

Nach Artikel 3 Abs. 1 EGSRL dürfen die Mitgliedstaaten 
die Bereitstellung von Zertifizierungsdiensten nicht von 
einer vorherigen Genehmigung abhängig machen. Dem 
wird entsprochen, indem das Genehmigungserfordemis des 
geltenden Signaturgesetzes für gesetzeskonforme Zertifizie- 
rungsdienste entfällt (vgl. § 4 SigG-E). Artikel 3 Abs. 2 
EGSRL sieht statt dessen die Schaffung eines geeigneten 
Systems zur Überwachung vor. Diese Regelung wird durch 
die Aufnahme von Vorschriften zur Aufsicht (vgl. §§ 4, 19 
und 20 SigG-E) und durch Bußgeldvorschriften (vgl. § 21 
SigG-E) umgesetzt. 

Artikel 3 Abs. 2 EGSRL sieht für die Mitgliedstaaten als 
eine Option zur Steigerung des Niveaus der erbrachten Zer- 
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tifizierungsdienste vor, freiwillige Akkreditierungssysteme 
einzuführen bzw. beizubehalten. Die freiwillige Akkreditie- 
rung wird im § 15 SigG-E geregelt, um den eingeführten 
und anerkannten Sicherheitsstandard nach dem geltenden 
Signaturgesetz als Option für den Markt weiterhin anzubie- 
ten und zu erhalten. 

Artikel 3 Abs. 7 EGSRL sieht darüber hinaus als Option für 
die Mitgliedstaaten vor, den Einsatz elektronischer Signatu- 
ren im öffentlichen Bereich zusätzlichen Anforderungen zu 
unterwerfen. Diese Möglichkeit wird im Gesetzentwurf auf- 
gegriffen und es wird in § 15 Abs. 2 SigG-E eine Referenz- 
vorschrift für den Einsatz elektronischer Signaturen im öf- 
fentlichen Bereich geschaffen. Die einzig zulässige zusätz- 
liche Anforderung für den öffentlichen Bereich nach dem 
SigG-E ist somit die des Verfahrens der freiwilligen Akkre- 
ditierung nach § 15 SigG-E, um eine einheitliche Verfah- 
rensweise auch in diesem Bereich sicherzustellen. 

Darüber hinaus werden die Vorschriften für die Prüfung der 
Sicherheit von Produkten für elektronische Signaturen an 
Artikel 3 Abs. 3 bis 5 EGSRL angepasst (vgl. § 17 Abs. 4 
SigG-E). 

Artikel 4 EGSRL sieht die Einhaltung der Binnenmarkt- 
grundsätze für die Bereitstellung von Zertifizierungs- 
diensten und Produkten für elektronische Signaturen vor. 
ln § 23 SigG-E wird die Anerkennung der Zertifizierungs- 
dienste und Produkte für elektronische Signaturen aus ande- 
ren EU-Staaten und Vertragsstaaten aus dem Europäischen 
Wirtschaftsraum sowie aus Drittstaaten geregelt. 

Die zentrale Vorschrift der Richtlinie beinhaltet Artikel 5 
Abs. 1 . Darin wird die Rechtswirkung elektronischer Signa- 
turen geregelt. Die Mitgliedstaaten haben danach dafür 
Sorge zu tragen, dass fortgeschrittene elektronische Signa- 
turen, die (zusätzlich) die Voraussetzungen der Anhänge 1 
bis 111 der Richtlinie erfüllen, die rechtlichen Anforderun- 
gen an eine Unterschrift in Bezug auf elektronische Daten 
in gleicher Weise wie handschriftliche Unterschriften in Be- 
zug auf Daten in Papierform erfüllen und im Gerichtsver- 
fahren als Beweismittel zugelassen sind. Diese Signaturen 
werden im Gesetz mit „qualifizierte elektronische Signatu- 
ren“ bezeichnet (vgl. § 2 Nr. 3 SigG-E). Die Bezeichnung 
erfolgt in Anlehnung an das für diese Signaturen erforder- 
liche qualifizierte Zertifikat. Wie bereits im geltenden 
Signaturgesetz werden im Gesetzentwurf lediglich die An- 
forderungen an die Sicherheitsinfrastruktur für qualifizierte 
elektronische Signaturen mit Rechtswirkung geregelt, nicht 
die Rechtswirkung selbst. Die Regelung der Rechtswirkung 
qualifizierter elektronischer Signaturen ist Gegenstand des 
Entwurfes eines Gesetzes zur Anpassung der Formvor- 
schriften des Privatrechts an den modernen Rechtsge- 
schäftsverkehr, der von der Bundesregierung gesondert in 
den Bundestag eingebracht wird. Dieser Gesetzentwurf 
sieht die Schaffung eines § 126a für das BGB vor, der - im 
Einklang mit der Richtlinie - die Möglichkeit der Ersetzung 
der Schriftform durch die „elektronische Form“ vorsieht, 
sofern das elektronische Dokument mit einer qualifizierten 
elektronischen Signatur versehen ist. Entsprechende Ände- 
rungen der Formvorschriften im Bereich des öffentlichen 
Rechts werden zurzeit von der Bundesregierung vorbereitet. 


Der nach Artikel 5 Abs. 1 Buchstabe b und Abs. 2 EGSRL 
geforderten Zulassung elektronischer Signaturen als Be- 
weismittel vor Gericht wird bereits durch den geltenden 
Rechtsgrundsatz der freien Beweiswürdigung der Gerichte 
entsprochen. Der erforderliche Schutz des Erklärungsemp- 
fängers soll im Übrigen prozessrechtlich durch das Institut 
des Beweises des ersten Anscheins gewährleistet werden, 
das im Gesetzentwurf zur Anpassung der Formvorschriften 
für die Frage der Echtheit einer in elektronischer Form nach 
§ 126a BGB-E abgegebenen Willenserklärung durch spe- 
zialgesetzliche Regelung in der ZPO (§ 292a ZPO-E) aus- 
drücklich kodifiziert wird. Weitere technische Anpassungen 
der Regelungen der ZPO an die elektronische Form sind im 
genannten Gesetz vorgesehen. 

Da die Richtlinie im Kern nur verbindliche Vorgaben für 
elektronische Signaturen nach Artikel 5 Abs. 1 EGSRL ent- 
hält, die im SigG-E mit dem Begriff „qualifizierte elektro- 
nische Signaturen“ abgebildet sind, ist in § 1 Abs. 2 SigG-E 
klargestellt, dass im Übrigen die Verwendung aller elektro- 
nischer Signaturen freigestellt ist, soweit nicht durch 
Rechtsvorschrift etwas anderes vorgeschrieben ist. 

Artikel 6 EGSRL sieht Regelungen zur Haftung der Zerti- 
fizierungsdiensteanbieter vor. Das geltende Signaturgesetz 
enthält keine Haftungsregelungen; es gilt das allgemeine 
Haftungsrecht. Die Regelungen der Richtlinie werden in 
§§11 und 12 SigG-E umgesetzt. Die über die Mindestanfor- 
derungen der Richtlinie hinausgehende Haftungsregelung 
entspricht zugleich den Forderungen des Bundesrates bei 
der parlamentarischen Beratung des Signaturgesetzes (Bun- 
desrats-Drucksache 420/97 (Beschluss)) und greift die Fest- 
stellungen des luKDG-Berichts der Bundesregierung (Bun- 
destagsdrucksache 14/1191) hierzu auf 

Den Datenschutzregelungen nach Artikel 8 EGSRL wird 
durch § 14 SigG-E entsprochen. Die Regelungen der Richt- 
linie zum Datenschutz gelten auch für Zertifizierungs- 
diensteanbieter, die andere als qualifizierte Zertifikate aus- 
stellen. Der materielle Regelungsbereich des Signaturgeset- 
zes wird daher beim Datenschutz entsprechend erweitert 
(vgl. § 14 Abs. 3 SigG-E). Aufgenommen wird außerdem 
eine Pflicht des Zertifizierungsdiensteanbieters zur Aufde- 
ckung der Identität bei Verwendung von Pseudonymen im 
Rahmen der Durchsetzung von zivilrechtlichen Ansprü- 
chen. 

Artikel 9 der Richtlinie regelt die Einsetzung eines Aus- 
schusses, der einheitliche technische Anforderungen der 
Richtlinie präzisieren sowie Normen und Kriterien fest- 
legen soll. Der Gesetzentwurf ist so technologieoffen ausge- 
staltet, dass die Ergebnisse des Ausschusses über die noch 
anzupassende Signaturverordnung (vgl. § 24 SigG-E) um- 
gesetzt werden können. 

Die Richtlinie sieht darüber hinaus eine Überprüfung der 
Durchführung der Richtlinie bis zum 19. Juli 2003 vor. 

2. Umsetzung der Erfahrungen aus der Evaluierung 
des Signaturgesetzes 

Der Deutsche Bundestag hat anlässlich der Verabschiedung 
des luKDG-Berichts die Bundesregierung aufgefordert, 
(auch) die Entwicklung digitaler Signaturen zu beobachten 
und auf Grund gemachter Erfahrungen ggf. vorzunehmende 
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Änderungen und Ergänzungen vorzuschlagen; dabei war 
insbesondere die Frage der Haftung der Zertifizierungs- 
diensteanbieter gegenüber Dritten zu beobachten. Außer- 
dem waren die Impulse der digitalen Signaturen für das 
bürgerliche Recht, das Zivilprozessrecht und das öffentliche 
Recht im Bericht der Bundesregierung zu berücksichtigen. 

Am 18. Juni 1999 hat die Bundesregierung den luKDG-Be- 
richt dem Deutschen Bundestag vorgelegt. Der Bericht 
nimmt Anregungen der betroffenen Kreise im Hinblick auf 
die Erfahrungen mit dem Gesetz auf und schlägt vor allem 
rechtstechnische Verbesserungen für das geltende Gesetz 
vor. Vor dem Hintergrund der zum Berichtszeitpunkt noch 
nicht verabschiedeten Richtlinie stellt der luKDG-Bericht 
fest, dass diese Änderungen bei der Umsetzung der Richt- 
linien berücksichtigt werden sollen. 

Es werden folgende Änderungsanregungen aus der Evaluie- 
rung in den Gesetzentwurf aufgenommen, die im Einklang 
mit der Richtlinie stehen bzw. die von der Richtlinie ge- 
währten Freiräume für die Umsetzung nutzen: 

- Klarstellung, dass das Gesetz die Möglichkeit einer Ver- 
lagerung von Aufgaben der Zertifizierungsdienste- 
anbieter auf Dritte bietet (vgl. § 4 Abs. 5 SigG-E), 

- Schaffung einer klaren gesetzlichen Grundlage für die 
Anerkennung von Prüf- und Bestätigungsstellen (vgl. 
§ 18 SigG-E), 

- Aufgreifen von Anregungen der Berufskammem hin- 
sichtlich der Ausstellung und Sperrung von Zertifikaten 
mit Angaben über berufsrechtliche Zulassungen (vgl. § 5 
Abs. 2 und § 8 Abs. 2 SigG-E) sowie bezüglich der Ver- 
wendung von Pseudonymen (vgl. § 5 Abs. 3 SigG-E). 

Dem Wunsch des Deutschen Bundestages und des Bundes- 
rates nach Aufnahme einer spezifischen Haftungsregelung 
für Zertifizierungsdiensteanbieter gegenüber Dritten wird 
im Ergebnis durch die Aufnahme einer entsprechenden Haf- 
tungsregelung Rechnung getragen. 

3. Weitere Regelungen 

Darüber hinaus enthält der Gesetzentwurf im Wesentlichen 
folgende Änderungen gegenüber dem geltenden Signaturge- 
setz: 

- technologieneutrale Anforderungen an Zeitstempel, so 
dass auch Verfahren ohne Signatur möglich sind (vgl. 
§ 2 Nr. 14 SigG-E), und Lockerung der geltenden Rege- 
lung zu Zeitstempeldiensten dahingehend, dass die Aus- 
stellung von qualifizierten Zeitstempeln von einer 
Pfiichtdienstleistung zu einer Wahldienstleistung wird 
(vgl. § 9 SigG-E), 

- Erweiterung der Unterrichtungspflicht für Zertifizie- 
rungsdiensteanbieter nach geltendem Signaturgesetz 
über die Rechtswirkung von qualifizierten elektroni- 
schen Signaturen im Rechtsverkehr (vgl. § 6 Abs. 2 
SigG-E), 

- Bestandsschutzregelung für Unternehmen, die Leistun- 
gen oder Produkte nach dem geltenden Signaturgesetz 
anbieten (vgl. § 25 SigG-E). 

Schließlich enthält der Gesetzentwurf die notwendigen Re- 
gelungen zur Umstellung von Vorschriften von Deutscher 


Mark auf Euro (vgl. Artikel 2 SigG-E), zur Anpassung von 
Bundesrecht, das auf das geltende Signaturgesetz verweist 
(vgl. Artikel 3 SigG-E), die Ermächtigung zur Änderung 
von Rechtsverordnungen (Rückkehr zum einheitlichen Ver- 
ordnungsrang, vgl. Artikel 4 SigG-E) und zum Inkrafttreten 
des Gesetzes (vgl. Artikel 5 SigG-E). 

B. Zu den einzelnen Bestimmungen 
Zu Artikel 1 

Änderung des Signaturgesetzes 
Zur Bezeichnung des Gesetzes 

Die Bezeichnung des Gesetzes wird an die Terminologie 
und Zielsetzung der Richtlinie angepasst. 

Zu§l 
Zu Absatz 1 

Absatz 1 bildet den Regelungszweck und die Reichweite 
der Richtlinie ab (Artikel 1 EGSRL). Der Regelungsbereich 
des Signaturgesetzes wird gemäß Artikel 1 EGSRL auf alle 
elektronischen Signaturen ausgedehnt. 

Im Kern werden entsprechend der Richtlinie nur die mate- 
riellen Anforderungen an „qualifizierte elektronische Signa- 
turen“, an die nach Artikel 5 Abs. 1 EGSRL unmittelbare 
Rechtswirkungen geknüpft werden, geregelt. Darüber hin- 
ausgehende materielle Anforderungen betreffen nur die spe- 
ziellen Datenschutzbestimmungen in § 14 Abs. 3 SigG-E, 
die auch diejenigen Zertifizierungsdiensteanbieter erfassen, 
die keine qualifizierten Zertifikate ausstellen. 

Zu Absatz 2 

Absatz 2 greift auf die bisherige Regelung nach § 1 Abs. 2 
SigG zurück. Die Vorschrift macht deutlich, dass auch im 
Rahmen des SigG-E die Anwendung von elektronischen 
Signaturen, die nicht den materiellen Anforderungen des 
SigG-E entsprechen, freigestellt ist. Diese Klarstellung ist 
erforderlich, da das Signaturgesetz - wie zu Absatz 1 ausge- 
führt - im Kern nur die materiellen Anforderungen an „qua- 
lifizierte elektronische Signaturen“ und die durch die Richt- 
linie hierfür vorgegebenen Sicherheitsinfrastrukturen regelt. 

Es bedarf daher auch keiner gesetzlichen Regelung für 
elektronische Signaturen, die ausschließlich in Systemen 
verwendet werden, die auf freiwilligen privatrechtlichen 
Vereinbarungen zwischen einer bestimmten Anzahl von 
Teilnehmern beruhen. Das SigG-E folgt auch insoweit der 
Richtlinie (vgl. Erwägungsgrund Nummer 16 EGSRL). 
Allerdings dürfen die Zertifikate und Zeitstempel in den 
Fällen, in denen den Anforderungen des Signaturgesetzes 
nicht vollständig entsprochen wird, nicht das Merkmal 
„qualifiziert“ erhalten. 

Unverändert gegenüber der bisherigen Regelung im § 1 
Abs. 2 SigG gilt auch für diese Vorschrift, dass der Gesetz- 
entwurf nicht die Anwendung von elektronischen Signatu- 
ren regelt; geregelt werden nur deren Sicherheit und die da- 
mit zusammenhängenden Fragen. 
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Zu §2 

Die Begriffsbestimmungen werden an Artikel 2 EGSRL 
angepasst. 

Zu Nummer 1 

Die Definition entspricht Artikel 2 Nr. 1 EGSRL Sie bringt 
den technologieneutralen Ansatz der Richtlinie zum Aus- 
druck und ist mit keinen weiteren Sicherheitsanforderungen 
verbunden. Eine eingescannte Unterschrift kann z. B. genü- 
gen, um als elektronische Signatur zu gelten, auch wenn da- 
mit keinerlei Sicherheitswert verbunden ist, da die ge- 
scannte Unterschrift kopiert und unter beliebig viele andere 
elektronische Dokumente gesetzt werden kann. 

Zu Nummer 2 

Die Definition entspricht Artikel 2 Nr. 2 EGSRL. Es wird 
lediglich der in § 2 Nr. 2 SigG-E definierte Begriff „Signa- 
turschlüssel-lnhaber“ an Stelle der Bezeichnung „Unter- 
zeichner“ verwendet. Für Buchstabe c) wird an Stelle des 
Begriffs „erstellt“ der treffendere Begriff „erzeugt“ verwen- 
det; der Begriff „Erzeugung“ wird auch in Anhang 111 Nr. 1 
Buchstabe a) EGSRL verwendet. 

Für fortgeschrittene elektronische Signaturen gelten nach 
der Richtlinie und nach dem Gesetzentwurf nur die in der 
Definition enthaltenen Anforderungen. Sie unterliegen da- 
mit höheren Anforderungen als (einfache) elektronische 
Signaturen, erfüllen jedoch nicht die Anforderungen an 
digitale Signaturen nach dem geltenden Signaturgesetz 
oder die Anforderungen, die durch Artikel 5 Abs. 1 EGSRL 
für die Anerkennung im Rechtsverkehr vorgegeben werden. 
So reicht beispielsweise die Nutzung der frei verfügbaren 
Implementierungen von Pretty Good Privacy (PGP), die aus 
dem Netz heruntergeladen werden können und bei denen 
die Signaturschlüssel auf Diskette, Festplatte des PCs und 
auf andere lesbare Datenträger gespeichert werden können, 
aus, um den Anforderungen an eine fortgeschrittene elektro- 
nische Signatur zu genügen. Die fortgeschrittenen elek- 
tronischen Signaturen stellen damit eine „Zwischenstufe“ 
im Verhältnis zu den (einfachen) elektronischen Signaturen 
und den qualifizierten elektronischen Signaturen dar. Die 
Definition aus der Richtlinie wird übernommen, um auch 
insoweit der Richtlinie zu entsprechen und gleichzeitig 
diese Zwischenstufe für den Anwender transparent zu 
machen. 

Buchstabe a bedeutet, dass ein Zertifizierungsdienste- 
anbieter denselben Signaturschlüssel nicht mehreren Per- 
sonen zuordnen darf. Die Vorschrift bezieht sich nur auf den 
jeweiligen Zertifizierungsdiensteanbieter, da im Rahmen 
der Globalisierung ein genereller Abgleich mit allen Zertifi- 
zierungsdiensteanbietem mit einem unvertretbaren Auf- 
wand verbunden wäre. 

Buchstabe b bringt die Funktion der Authentizität zum Aus- 
druck. Die Identifizierung des Signaturschlüsselinhabers ist 
über das der Signatur zugrunde hegende Zertifikat möglich. 

Buchstabe c bringt zum Ausdruck, dass der Signaturschlüs- 
sel-Inhaber seine Signaturerstellungseinheit vor unbefugter 
Nutzung schützen können muss. 


Buchstabe d verlangt, dass bei Daten, die mit einer fortge- 
schrittenen elektronischen Signatur signiert sind, eine nach- 
trägliche Veränderung erkennbar sein muss. 

Zu Nummer 3 

Nummer 3 verbindet die fortgeschrittene elektronische 
Signatur nach Nummer 2 mit den weiteren nach Artikel 5 
Abs. 1 EGSRL vorgesehenen Anforderungen. Die Richt- 
linie verwendet für die elektronische Signatur nach 
Artikel 5 EGSRL keine besondere Bezeichnung. Die Richt- 
linie spricht von „fortgeschrittenen elektronischen Signatu- 
ren“, die (zusätzlich) auf einem qualifizierten Zertifikat 
(Anhang I EGSRL) beruhen und die von einer sicheren Sig- 
naturerstellungseinheit (Anhang III EGSRL) erstellt wur- 
den. Die Anforderungen an die Ausstellung qualifizierter 
Zertifikate sind in Anhang II EGSRL geregelt. 

Die fortgeschrittenen elektronischen Signaturen, die die 
Zusatzanforderungen des Artikels 5 Abs. 1 EGSRL erfüllen, 
erhalten im SigG-E die Bezeichnung „qualifizierte elektro- 
nische Signaturen“. Die Bezeichnung erfolgt in Anlehnung 
an das für diese elektronischen Signaturen erforderliche 
qualifizierte Zertifikat. Eine qualifizierte elektronische Sig- 
natur ist somit in richtlinienkonformer Auslegung eine fort- 
geschrittene elektronische Signatur, die zusätzlich die An- 
forderungen des Artikels 5 Abs. 1 i. V. m. den Anhängen I 
bis III der Richtlinie erfüllt. Die Definition nach Nummer 3 
entspricht Artikel 5 Abs. 1 EGSRL. Bezüglich des qualifi- 
zierten Zertifikates erfolgt eine Präzisierung dahingehend, 
dass es zum Zeitpunkt der Erzeugung der qualifizierten 
elektronischen Signatur gültig gewesen sein muss (vgl. 
Buchstabe a)). Andernfalls besteht die Möglichkeit, dass es 
zu diesem Zeitpunkt noch nicht ausgestellt oder dass die 
Gültigkeitsdauer bereits abgelaufen oder dass es gesperrt 
war. 

Zu Nummer 4 

Die Definition entspricht Artikel 2 Nummer 4 EGSRL. Es 
wird jedoch an Stelle des Begriffs „Signaturerstellungs- 
daten“ die Bezeichnung „Signaturschlüssel“ des geltenden 
SigG beibehalten. Im Interesse einer Präzisierung der Vor- 
schrift wird das Beispiel „Codes“ nicht übernommen, da es 
hinsichtlich der geforderten Einmaligkeit der Signatur- 
schlüssel eine Unschärfe darstellt. Mit der Formulierung 
„elektronische Daten“ und der nur beispielhaften Aufzäh- 
lung („... wie kryptographische Daten ...“) bleibt die Vor- 
schrift für alle technischen Lösungen offen. 

Zu Nummer 5 

Die Definition entspricht Artikel 2 Nr. 7 EGSRL. Es wird 
jedoch - in Anlehnung an die Bezeichnung „öffentlicher 
Schlüssel“ im gehenden Signaturgesetz und in Anpassung 
an den Begriff „Signaturschlüssel“ nach Nummer 4 - an 
Stelle des Begriffs „Signaturprüfdaten“ der Richtlinie im 
SigG-E die Bezeichnung „Signaturprüfschlüssel“ gewählt. 
Anhand des Signaturprüfschlüssels kann der Empfänger ei- 
ner elektronischen Signatur nachprüfen, ob die signierten 
Daten vom Signaturschlüssel-Inhaber stammen und unver- 
ändert sind. Im Interesse einer Präzisierung der Vorschrift 
wird - wie bei der Definition des Signaturschlüssels (vgl. 
Nummer 4) - das Beispiel „Codes“ nicht übernommen. 
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Zu Nummer 6 

Die Definition entspricht Artikel 2 Nr. 9 EGSRL. Im Ge- 
gensatz zum qualifizierten Zertifikat nach Nummer 7, das 
Grundlage für die Abbildung der handschriftlichen Unter- 
schrift ist, kann ein (einfaches) Zertifikat auch auf juristi- 
sche Personen ausgestellt werden. 

Zu Nummer 7 

Die Definition entspricht Artikel 2 Nr. 10 EGSRL. Der Be- 
griff „qualifizierte Zertifikate“ umfasst auch „qualifizierte 
Attribut-Zertifikate“ (vgl. § 7 Abs. 2 SigG-E). 

Die Beschränkung der qualifizierten Zertifikate auf natürli- 
che Personen ist durch die nach Artikel 5 Abs. 1 EGSRL 
vorgesehene rechtliche Gleichstellung der darauf beruhen- 
den qualifizierten elektronischen Signaturen mit der hand- 
schriftlichen Unterschrift vorgegeben. 

Zu Nummer 8 

Die Definition entspricht Artikel 2 Nr. 1 1 . Die in der Richt- 
linie enthaltene Bezeichnung „eine Stelle“ ist durch die For- 
mulierung „eine juristische oder natürliche Person“ mit um- 
fasst. Der Begriff „Zertifizierungsstelle“ des geltenden SigG 
und der Begriff „Zertifizierungsdiensteanbieter“ im SigG-E 
decken sich. 

Die Definition wird im Übrigen dahingehend präzisiert, 
dass tatsächlich nur die Dienste der Zertifizierungsdien- 
steanbieter (nicht z. B. auch die Dienste der Prüf- und Be- 
stätigungsstellen nach § 18 SigG-E) erfasst werden. 

Die Definition erfasst alle Zertifizierungsdiensteanbieter, 
die qualifizierte Zertifikate einschließlich Attribut-Zertifi- 
kate (vgl. § 7 Abs. 2 SigG-E) oder Zeitstempel mit dem 
Merkmal „qualifiziert“ ausstellen. Diese Zertifizierungs- 
diensteanbieter sind - mit Ausnahme der Vorschriften zum 
Datenschutz (8 14 Abs. 3 SigG-E) - ausschließlich Adressat 
des SigG-E. 

Ebenso wie die Richtlinie verzichtet das Gesetz auf eine ge- 
sonderte Definition von „Zertifizierungsdiensten“. Die Auf- 
gaben der Zertifizierungsdienste werden aus der Definition 
„Zertifizierungsdiensteanbieter“ deutlich. 

Die Ausstellung von Zertifikaten für technische Komponen- 
ten ist nicht Gegenstand dieses Gesetzes, mit Ausnahme der 
speziellen Vorschrift in § 16 Abs. 3 SigG-E zur Ausstellung 
von Zertifikaten für Authentisierungsschlüssel, die in Pro- 
dukten für elektronische Signaturen verwendet werden. 

Zu Nummer 9 

Mit der Vorschrift wird Artikel 2 Nr. 3 EGSRL umgesetzt. 
An Stelle des in der Richtlinie verwendeten Begriffs „Un- 
terzeichner“ wird der Begriff „Signaturschlüssel-lnhaber“ 
aus dem geltenden Signaturgesetz (vgl. § 2 Abs. 1 und § 7 
Abs. 1 Nr. 1 SigG) beibehalten, der den Begriff „Unter- 
zeichner“ umfasst, aber den Sachverhalt genauer trifft. Bei 
den meisten Vorschriften des Gesetzes ist der Normadressat 
nicht in der Funktion des Unterzeichners, sondern in der 
Funktion des Signaturschlüssel-Inhabers mit den damit ver- 
bundenen Rechten und Pflichten angesprochen. 


Die Definition der (einfachen) „Signaturerstellungseinheit“ 
in Artikel 2 Nr. 5 EGSRL ist in die Definition der „sicheren 
Signaturerstellungseinheit“ eingegangen; ein Bedarf für 
eine gesonderte Definition im Signaturgesetz besteht nicht. 

Zu Nummer 10 

Die Definition entspricht Artikel 2 Nr. 6 EGSRL, präzisiert 
jedoch die „Implementierung der Signaturerstellungsdaten“ 
durch die Formulierung „Speicherung und Anwendung von 
S ignaturschlüs sein“ . 

Zu Nummer 11 

Mit der Vorschrift wird Artikel 2 Nr. 8 EGSRL umgesetzt. 
An die Stelle des Begriffs „Signaturprüfeinheit“ in der 
Richtlinie wird jedoch der präzisere Begriff „Signaturan- 
wendungskomponenten“ verwendet, der alle Sicherheits- 
aspekte bei der Anwendung elektronischer Signaturen ab- 
deckt. 

Bei der Anwendung qualifizierter elektronischer Signaturen 
muss der Unterzeichner vor allem sicher sein können, dass 
er nur das signiert, was ihm angezeigt wird und was er sig- 
nieren will. Er muss bei Bedarf auch den Inhalt der zu sig- 
nierenden oder zu prüfenden signierten Daten feststellen 
können. Schließlich muss er die qualifizierten Zertifikate 
gemäß § 5 Abs. 1 Satz 2 SigG-E zuverlässig nachprüfen 
können. 

Zu Nummer 12 

Mit der Vorschrift wird Anhang II Buchstabe f EGSRL 
umgesetzt. Die dort genannten Systeme und Produkte 
(„müssen vertrauenswürdige Systeme und Produkte einset- 
zen, die vor Veränderungen geschützt sind und die die tech- 
nische und kryptographische Sicherheit der von ihnen unter- 
stützten Verfahren gewährleisten“) erhalten eine eigene Be- 
zeichnung, um diese im Gesetz und in der Rechtsverord- 
nung nach § 24 SigG-E deutlich adressieren zu können. In 
der Richtlinie sind diese zwar in Artikel 2 Nr. 12 („Produkt 
für elektronische Signaturen“) definiert, jedoch nur im Kon- 
text mit anderen Produkten. 

Zu Nummer 13 

Die Definition ist Artikel 2 Nr. 12 EGSRL nachgebildet. An 
Stelle der in der Richtlinie isoliert vorgenommenen Defini- 
tion des Sammelbegriffs „Produkte für elektronische Signa- 
turen“ wird auf die vorhandenen Definitionen der einzelnen 
Produktarten nach den Nummern 10 bis 12 zurückgegriffen. 

Zu Nummer 14 

Nummer 14 setzt Anhang II Buchstabe c EGSRL um. Um 
den dort genannten Anforderungen („müssen gewährleisten, 
dass Datum und Uhrzeit der Ausstellung oder des Widerrufs 
eines Zertifikates genau bestimmt werden können“) Rech- 
nung zu tragen, können Zeitstempel notwendig sein. Da- 
rüber hinaus sind Zeitstempel für elektronische Dokumente 
mit Zeitbezug (z. B. fristgerechte Einreichung von Unter- 
lagen und Empfangsbestätigungen) generell von großer Be- 
deutung. 
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Bei der Definition wird auf § 2 Abs. 4 SigG zurückgegrif- 
fen. Der Begriff „Zeitstempel“ erhält zur Unterscheidung 
von anderen, nicht im SigG-E geregelten Zeitstempeln den 
Zusatz „qualifiziert“. 

Die Definition wird zugleich technikneutraler gefasst, in- 
dem diese nicht mehr zwingend eine Signatur verlangt. 
Damit können neben der herkömmlichen technischen Lö- 
sung auch andere technische Verfahren zur Anwendung 
kommen, bei denen mehrere „Hash- Werte“ (eine Art von 
Quersummen), z. B. des elektronischen Dokumentes, der 
Zeitangabe und des Zertifizierungsdienstes, verknüpft wer- 
den. 

Zu Nummer 15 

Die Definition entspricht - auf die Kernelemente der frei- 
willigen Akkreditierung reduziert - Artikel 2 Nr. 13 
EGSRL. 

Zu §3 

Die Vorschrift dient der Umsetzung von Artikel 3 Abs. 3 
EGSRL. Sie greift auf die Regelung des § 3 SigG zurück. 
Da der zuständigen Behörde alle administrativen Aufgaben 
nach dem Signaturgesetz und der Signaturverordnung über- 
tragen sind, wird die bisherige beispielhafte Aufzählung 
von Aufgaben durch eine Generalklausel ersetzt. 

Zu §4 

Mit der Vorschrift wird Artikel 3 Abs. 1 EGSRL umgesetzt. 
Der im Signaturgesetz enthaltene Genehmigungsvorbehalt 
für gesetzeskonforme Zertifizierungsdiensteanbieter ent- 
fällt. Statt dessen wird gemäß Artikel 3 Abs. 3 EGSRL ein 
„geeignetes System zur Überwachung“ eingeführt (vgl. 
§§ 19 und 20 SigG-E). 

ln § 4 SigG-E werden in Übereinstimmung mit Artikel 3 
und Anhang 11 EGSRL die allgemeinen Anforderungen an 
Zertifizierungsdiensteanbieter geregelt. Die speziellen An- 
forderungen an Zertifizierungsdiensteanbieter nach An- 
hang 11 EGSRL sind in den §§ 5 bis 14 SigG-E enthalten, 
die in der Rechtsverordnung nach § 24 SigG-E näher ausge- 
führt werden. 

Zu Absatz 1 

Mit dieser Vorschrift wird Artikel 3 Abs. 1 EGSRL umge- 
setzt. Die Vorschrift stellt die allgemeine Handlungs- und 
Gewerbefreiheit (Artikel 2, 12 GG) auch für Zertifizie- 
rungsdiensteanbieter klar. Durch die Formulierung „im 
Rahmen der Gesetze“ wird deutlich gemacht, dass sonstige 
Genehmigungserfordemisse des allgemeinen Rechts, etwa 
gewerberechtlicher oder wirtschaftsrechtlicher Art oder 
nach dem Telekommunikationsrecht, unberührt bleiben. 

Zu Absatz 2 

Mit dieser Vorschrift wird Anhang 11 EGSRL umgesetzt. 
Sie enthält die allgemeinen Anforderungen an Zertifizie- 
rungsdiensteanbieter, die in den folgenden Vorschriften des 
Gesetzes und in der Rechtsverordnung nach § 24 SigG-E 


näher ausgeführt werden. Die Regelung des Satzes 1 ist 
bußgeldbewehrt (vgl. § 21 Abs. 1 Nr. 1 SigG-E). 

Zu Absatz 3 

Das nach Artikel 3 Abs. 3 EGSRL vorgesehene Überwa- 
chungs- bzw. Aufsichtssystem (vgl. §§19 und 20 SigG-E) 
macht es erforderlich, dass der Betrieb eines Zertifizie- 
rungsdienstes bei der zuständigen Behörde angezeigt und 
durch den Zertifizierungsdiensteanbieter dargelegt wird, 
dass die Anforderungen des Signaturgesetzes erfüllt sind. 
Die Regelung des Satzes 1 ist bußgeldbewehrt (vgl. § 21 
Abs. 1 Nr. 2 SigG-E). 

Die Anzeige muss spätestens mit der Betriebsaufnahme er- 
folgen, damit die zuständige Behörde bei Nichterfüllung der 
gesetzlichen Vorgaben rechtzeitig gemäß § 19 SigG-E tätig 
werden kann. 

Die Darlegungspfiicht nach Satz 2 bezieht sich auf die Vor- 
lage der Nachweise für die Zuverlässigkeit (z. B. Auszüge 
aus dem Bundeszentralregister), Fachkunde (z. B. Zeug- 
nisse) und Deckungsvorsorge (z. B. Versicherungspolice, 
Bankbürgschaft) sowie die Vorlage des Sicherheitskonzep- 
tes mit einer Erläuterung der praktischen Umsetzung. Aus 
dem Sicherheitskonzept muss insbesondere hervorgehen, 
dass die eingesetzten Produkte für elektronische Signaturen 
und deren Implementierung sowie die Ablauforganisation 
des Zertifizierungsdiensteanbieters den Anforderungen des 
Signaturgesetzes und der Rechtsverordnung nach § 24 
SigG-E entsprechen. 

Zu Absatz 4 

Die Vorschrift stellt klar, dass die nach Anhang 11 EGSRL 
vorgegebenen Anforderungen an die Sicherheit über die ge- 
samte Dauer des Betriebs des Zertifizierungsdienstes auf- 
rechterhalten werden müssen. 

Zu Absatz 5 

Diese Vorschrift greift die im Rahmen der Evaluierung des 
Signaturgesetzes erhobene Forderung nach einer Präzisie- 
rung der Reichweite des Begriffs „Zertifizierungsstelle“ 
(jetzt: „Zertifizierungsdiensteanbieter“) auf. Im Kern geht 
es um die rechtswissenschaftliche Diskussion, ob und in- 
wieweit das geltende Signaturgesetz die Möglichkeit bietet, 
Aufgaben des Zertifizierungsdiensteanbieters auf Dritte aus- 
zulagem. Mit der Regelung in Absatz 5 wird klargestellt, 
dass eine Übertragung von Aufgaben des Zertifizierungs- 
diensteanbieters an Dritte zulässig ist. Dritte sind alle, die 
Teilaufgaben eines Zertifizierungsdiensteanbieters überneh- 
men können, wie z. B. Unternehmen, Behörden, Berufs- 
kammem, privatwirtschaftliche oder kommunale Träger. 
Die Richtlinie steht einer Übertragung von Aufgaben des 
Zertifizierungsdiensteanbieters auf Dritte nicht entgegen. 

Die Vorschrift räumt damit Zertifizierungsdiensteanbietem 
bei ihrer innerbetrieblichen Organisation richtlinienkonform 
ausdrücklich einen großen Gestaltungsspielraum ein, soweit 
die Einhaltung der gesetzlichen Vorgaben gewährleistet 
bleibt. Ihre Gesamtverantwortung für den Betrieb des Zerti- 
fizierungsdienstes und ihre Haftung bleiben von der mögli- 
chen Aufgabenübertragung an Dritte unberührt (vgl. auch 
§ 11 Abs. 4 SigG-E). 
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Zu §5 

Mit der Vorschrift wird Anhang 11 EGSRL umgesetzt, dies 
gilt insbesondere für die Buchstaben b), d), f), g), j) und 1). 
Die Vorschrift greift auf § 5 SigG zurück. 

Zur Überschrift 

Redaktionelle Anpassung an die neuen Begriffe in § 2 
SigG-E. 

Zu Absatz 1 

Neben redaktionellen Anpassungen an die neuen Begriffe in 
§ 2 SigG-E beinhaltet die Vorschrift durch Wahl des Begrif- 
fes „Kommunikationsverbindungen“ einen technologieoffe- 
nen Ansatz, der heutige und künftige Formen der Online- 
Kommunikation erfasst (im Vergleich zur engeren Regelung 
des geltenden Signaturgesetzes, das lediglich von „Tele- 
kommunikationsverbindungen“ spricht) . 

Die Regelungen der Sätze 1 bis 3 sind bußgeldbewehrt (vgl. 
§ 21 Abs. 1 Nr. 3 bis 5 SigG-E). 

Zu Absatz 2 

Mit den Änderungen gegenüber dem geltenden Signaturge- 
setz wird einem wesentlichen Anliegen vor allem der Be- 
rufskammern, das im Rahmen der Evaluierung des Signa- 
turgesetzes vorgebracht wurde, entsprochen. Die Richtlinie 
lässt den Mitgliedstaaten bei der Umsetzung im Hinblick 
auf die „spezifischen Attribute der Person“ in Anhang 11 
Buchstabe d) ausdrücklich einen weiten Spielraum („ . . . mit 
geeigneten Mitteln nach einzelstaatlichem Recht ...“). 

Zunächst erfolgt mit der gegenüber dem geltenden Signa- 
turgesetz vorgenommenen Erweiterung auf „berufsbezo- 
gene oder sonstige Angaben“ eine Öffnung, so dass alle po- 
tenziell relevanten Angaben zu einer Person, z. B. Zugehö- 
rigkeit zu einer Institution, Aufgabenbereich, Berufsbe- 
zeichnung, berufsrechtliche Zulassungen, in ein Zertifikat 
aufgenommen werden können. 

Vor allem aber wird die „Einwilligung“, die in der bisheri- 
gen Regelung des § 5 Abs. 2 SigG lediglich bei der Auf- 
nahme von Angaben über Vertretungsrechte für eine dritte 
Person in ein qualifiziertes Zertifikat vorgesehen ist, künftig 
auch als „Bestätigung“ seitens der für berufsbezogene oder 
sonstige Angaben zur Person zuständigen Stellen (z. B. Be- 
rufskammern) verlangt. Eine aktuelle Bestätigung ist erfor- 
derlich, um zu verhindern, dass überholte, zum aktuellen 
Zeitpunkt unzutreffende Angaben zu einer Person in ein 
qualifiziertes Zertifikat aufgenommen werden. Zugleich er- 
halten die register- und berufsaufsichtsführenden Stellen 
durch das konkrete Bestätigungserfordemis die Informatio- 
nen über Zertifizierungsvorgang und Zertifizierungsdienst, 
die sie zur Geltendmachung ihrer Rechte nach § 8 Abs. 2 
SigG-E benötigen. 

Berufsbezogene Angaben können von verschiedenen Stel- 
len (z. B. von Arbeitgebern, Zulassungsstellen oder regis- 
terführenden Stellen) kommen. Während es den Arbeitge- 
bern - im Rahmen der Gesetze - grundsätzlich in deren 
freies Ermessen gestellt bleibt, ob sie die berufsbezogenen 
Angaben für ein Zertifikat bestätigen, müssen die für be- 
rufsrechtliche Zulassungen oder das Führen von Berufs- 
registem zuständigen Stellen im Rahmen ihrer pflichtgemä- 


ßen Aufgabenerfüllung (gebundenes Ermessen) bei Vorlie- 
gen der Voraussetzungen die Angaben bestätigen. Dies gilt 
nicht, sofern bei Verwendung eines Pseudonyms berechtigte 
Interessen entgegenstehen (vgl. Absatz 3 Satz 2). Die Rege- 
lung des Satzes 3 wurde zum Zwecke der Möglichkeit einer 
Bußgeldbewehrung aufgenommen; auch Satz 4 ist bußgeld- 
bewehrt (vgl. dazu § 21 Abs. 1 Nr. 6 SigG-E). 

Satz 4 greift auf die bisherige Regelung in § 7 Abs. 3 SigG 
zurück. Er wird wegen des Sachzusammenhangs an dieser 
Stelle eingefügt. 

Zu Absatz 3 

Satz 1 wird redaktionell an die neuen Begriffe in § 2 SigG-E 
angepasst. 

Mit dem neuen Satz 2 wird einem weiteren Wunsch der Be- 
rufskammem im Rahmen der Evaluierung des Signaturge- 
setzes entsprochen, die Bedenken äußerten, dass ein qualifi- 
ziertes Zertifikat mit Angaben über eine berufsrechtliche 
Zulassung auf ein Pseudonym ausgestellt werden und da- 
durch das Vertrauen in die berufsrechtliche Zulassung er- 
schüttert werden könnte. Mit der neuen Regelung wird z. B. 
den Ärztekammern die Möglichkeit eingeräumt, auszu- 
schließen, dass Ärzte medizinische Leistungen unter einem 
Pseudonym anbieten. Eine solche Regelung ist im Hinblick 
auf den weiten Spielraum, den die Richtlinie hinsichtlich 
der spezifischen Attribute zur Person lässt (vgl. Anhang II 
Buchstabe d) EGSRL), auch richtlinienkonform. 

Zu Absatz 4 

Die redaktionelle Anpassung in dieser Vorschrift berück- 
sichtigt, dass der im geltenden Signaturgesetz in Satz 3 ver- 
wendete Zusatz „privater“ Signaturschlüssel infolge der 
Definition des Begriffs „Signaturschlüssel“ in § 2 Nr. 4 
SigG-E, die den Begriff „privat“ umfasst, entbehrlich ist. 

Mit der Änderung von Satz 2 gegenüber dem geltenden Sig- 
naturgesetz wird klargestellt, dass jede Speicherung eines 
Signaturschlüssels außerhalb der jeweiligen sicheren Signa- 
turerstellungseinheit (beim Zertifizierungsdienst oder an- 
derswo) unzulässig ist. Während sich Satz 2 dieser Vor- 
schrift an die Zertifizierungsdiensteanbieter richtet (sofern 
diese Signaturschlüssel bereitstellen), betrifft die gleich 
lautende Vorschrift in § 17 Abs. 3 Nr. 1 SigG-E die techni- 
schen Komponenten für Zertifizierungsdienste bzw. deren 
Hersteller. Die Regelungen der Sätze 2 und 3 sind bußgeld- 
bewehrt (vgl. § 21 Abs. 1 Nr. 7 und 8 SigG-E). 

Zu Absatz 5 

Die Regelung greift auf § 5 Abs. 5 SigG zurück und passt 
die dortigen Anforderungen an die Begriffsbestimmung 
nach § 2 Nr. 13 SigG-E an. 

Zu Absatz 6 

Mit der Vorschrift wird Artikel 5 Abs. 1 EGSRL entspro- 
chen. Sie soll ausschließen, dass ein qualifiziertes Zertifikat 
für einen Signaturschlüssel ausgestellt wird, der sich nicht 
auf einer sicheren Signaturerstellungseinheit befindet. 

Bei einer Signatur, die mit einer nicht-sicheren Signaturer- 
stellungseinheit (z. B. nicht auf einer sicheren Chipkarte) 
erstellt wurde, kann nicht ausgeschlossen werden, dass Un- 
befugte durch Hacking, „trojanische Pferde“ oder andere 




Drucksache 14/4662 


- 22 - 


Deutscher Bundestag - 14. Wahlperiode 


Angriffe an den Signaturschlüssel gelangen. Mit einem 
Duplikat des Signaturschlüssels könnten sie dann beliebig 
gefälschte Signaturen erzeugen, die von den Signaturen des 
rechtmäßigen Signaturschlüssel-Inhabers nicht zu unter- 
scheiden wären. 

Die Verpflichtung des Zertifizierungsdiensteanbieters, sich 
gemäß Absatz 6 zu überzeugen, gilt unabhängig davon, ob 
er die sichere Signaturerstellungseinheit bereitstellt oder ob 
der Signaturschlüssel-Inhaber diese von anderer Seite er- 
worben hat. Der Zertifizierungsdiensteanbieter hat sich so- 
wohl davon zu überzeugen, dass es sich um eine sichere 
Signaturerstellungseinheit handelt (z. B. anhand eines Au- 
thentisierungsmerkmales des Herstellers), als auch davon, 
dass diese den zugehörigen Signaturschlüssel zu dem im 
Zertifikat aufgeführten Prüfschlüssel enthält. Dieser Vor- 
gang muss spätestens abgeschlossen sein, wenn das qualifi- 
zierte Zertifikat gemäß Absatz 1 Satz 2 öffentlich nachprüf- 
bar ist. Ist für einen Signaturschlüssel bereits ein gültiges 
qualifiziertes Zertifikat vorhanden, so muss der Zertifizie- 
rungsdiensteanbieter sich bei der Ausstellung weiterer Zer- 
tifikate für diesen Schlüssel nicht erneut überzeugen. 

Zu §6 

Mit der Vorschrift wird Anhang II Buchstabe k) EGSRL 
umgesetzt. Sie greift auf § 6 SigG zurück. 

Zu Absatz 1 

Neben redaktionellen Anpassungen an die neuen Begriffs- 
bestimmungen in § 2 SigG-E entfällt Satz 2 des geltenden 
§ 6 SigG, da die dortige Regelung bereits von Satz 1 um- 
fasst wird. Unabhängig von dieser rechtstechnischen Ände- 
rung ist eine Unterrichtung der Signaturschlüssel-Inhaber 
über Signaturanwendungskomponenten aus Gründen des 
Vertrauensschutzes zwingend erforderlich, da andernfalls 
die Gefahr besteht, dass ungewollt qualifizierte elektroni- 
sche Signaturen erzeugt werden, z. B. durch Unterschieben 
elektronischer Dokumente zur Erzeugung einer Signatur. 
Die näheren Einzelheiten bleiben der Rechtsverordnung 
Vorbehalten (vgl. § 24 Nr. 1 SigG-E). 

Zu Absatz 2 

Absatz 2 erweitert die Unterrichtungspflicht auf die Rechts- 
wirkungen von mit qualifizierten elektronischen Signaturen 
versehenen Willenserklärungen. Sie bezieht sich damit auf 
die Rechtsfolgen, die sich durch das vorgesehene Gesetz zur 
Anpassung der Formvorschriften des Privatrechts und ande- 
rer Vorschriften an den modernen Rechtsgeschäftsverkehr 
ergeben. Mit diesem Gesetz soll eine elektronische Form 
nach § 126a BGB eingeführt werden, die bei Verwendung 
einer qualifizierten elektronischen Signatur die Schriftform 
nach § 126 BGB ersetzen kann. Der Antragsteller ist da- 
rüber zu informieren, dass eine qualifizierte elektronische 
Signatur die Rechtswirkung einer handschriftlichen Unter- 
schrift hat und dass damit einer elektronisch signierten Er- 
klärung erhöhte rechtliche Bedeutung beigemessen wird. 

Durch die vorgeschriebene Unterrichtung wird ein Teil der 
mit der Schriftform bezweckten Warnfunktion auf den elekt- 
ronischen Bereich übertragen. Dem Antragsteller ist eine 


schriftliche Belehrung auszuhändigen, deren Kenntnis- 
nahme dieser gesondert zu unterschreiben hat. Das persön- 
liche Erscheinen des Antragstellers ist für die Unterrichtung 
- einschließlich der Belehrung nach Satz 2 - nicht erforder- 
lich; ein schriftliches Verfahren ist ausreichend. Die elektro- 
nische Form ist bei der erstmaligen Antragstellung ausge- 
schlossen. Bei einer erneuten Antragstellung (bei demsel- 
ben oder einem anderen Zertifizierungsdienst) ist eine er- 
neute Unterrichtung generell - auch die nach Absatz 2 - 
entbehrlich. 

Diese Unterrichtung und die traditionelle Ausgestaltung 
(Schriftform) bei der erstmaligen Beantragung erscheint so 
lange notwendig, bis sich die „elektronische Form“ nach 
§ 126a BGB-E im Rechts- und Geschäftsverkehr breit etab- 
liert hat. Sie dient für eine Übergangszeit als Bindeglied 
zwischen der herkömmlichen Schriftform (mit ihren be- 
kannten Funktionen) und der „elektronischen Form“, die ein 
Äquivalent zu dieser bildet. Der durch die Belehrung den 
Beteiligten einmalig entstehende Aufwand ist im Hinblick 
auf die qualitativ tief greifenden Auswirkungen der Verwen- 
dung qualifizierter elektronischer Signaturen im Rechtsver- 
kehr angemessen und vertretbar. 

Zu §7 

Mit der Vorsehrift wird Anhang I der Richtlinie umgesetzt. 
Sie greift auf § 7 SigG zurück. 

Zur Überschrift 

Redaktionelle Anpassung an die neuen Begriffe in § 2 
SigG-E. 

Zu Absatz 1 

Absatz 1 verlangt für das Zertifikat eine qualifizierte elekt- 
ronische Signatur. Diese Vorschrift setzt Anhang I Buch- 
stabe h) EGSRL unter Berücksichtigung der Vorgaben von 
Artikel 5 Abs. 1 EGSRL um. Signaturen mit einem gerin- 
gen Sicherheitswert könnten nicht nur eine Fälschung der 
qualifizierten Zertifikate ermöglichen, sondern in der Folge 
auch eine Fälschung der darauf beruhenden qualifizierten 
elektronischen Signaturen. 

Im Übrigen wird die Vorschrift redaktionell an die neuen 
Begriffe in § 2 SigG-E angepasst und gemäß Anhang I 
EGSRL gegenüber dem geltenden § 7 SigG erweitert. 

Nummer 6 wird entsprechend Anhang I Buchstabe b) 
EGSRL ergänzt um den Zusatz „und des Staates, in dem er 
niedergelassen ist“. 

In Nummer 7 wird das Wort „und“ durch das Wort „oder“ 
ersetzt und damit klargestellt, dass die genannten Möglich- 
keiten der Beschränkung alternativ gelten. 

Nummer 8 wird entsprechend Anhang II Buchstabe a) 
EGSRL neu aufgenommen. 

Nummer 9 wird entsprechend Anhang I Buchstabe d) 
EGSRL neu aufgenommen. Es wird darin richtlinien- 
konform klargestellt, dass Attribute des Signaturschlüssel- 
Inhabers Teil des qualifizierten Zertifikates sind. 
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Zu Absatz 2 

Mit der Vorschrift wird - wie bereits im geltenden SigG - 
der Tatsache Rechnung getragen, dass qualifizierte Attribut- 
Zertifikate im Rechts- und Geschäftsverkehr eine entschei- 
dende Rolle spielen (z. B. bei Vertretungsrechten und be- 
rufsrechtlichen Zulassungen) und zunehmend an Bedeutung 
gewinnen werden. 

Die Richtlinie macht eine Änderung des geltenden § 7 
Abs. 2 SigG erforderlich. Zwar enthält die Richtlinie keine 
eigene Definition der Attribut-Zertifikate, wie im geltenden 
SigG, erwähnt jedoch sowohl in Anhang I Buchstabe d) als 
auch in Anhang II Buchstabe d) das „spezifische Attribut“. 
In Anhang I Buchstabe d) wird das spezifische Attribut als 
Bestandteil des qualifizierten Zertifikates („Platz für ein 
spezifisches Attribut..“) definiert. Die gegenüber § 7 Abs. 2 
SigG geänderte Vorschrift stellt richtlinienkonform klar, 
dass qualifizierte Attribut-Zertifikate von dem Begriff „qua- 
lifizierte Zertifikate“ mit umfasst sind und enthält die not- 
wendige spezielle Rahmenregelung für qualifizierte Attri- 
but-Zertifikate. 

Bei der Referenzierung von Attribut-Zertifikaten wird offen 
gelassen, welche Angaben aus dem qualifizierten Zertifikat 
in das qualifizierte Attribut-Zertifikat übernommen werden, 
so dass die Angaben in qualifizierten Attribut-Zertifikaten 
an den Bedürfnissen der jeweiligen Nutzung des qualifi- 
zierten Zertifikates ausgerichtet werden können. Die nähe- 
ren Einzelheiten bleiben der Rechtsverordnung nach § 24 
SigG-E Vorbehalten, da diese durch internationale Entwick- 
lungen und die Ergebnisse des Ausschusses nach Artikel 9 
EGSRL beeinflusst werden können. Die Richtlinie lässt den 
Mitgliedstaaten im Übrigen einen großen Spielraum bei der 
Ausgestaltung der Regelungen zu Attributen (vgl. Anhang I 
Buchstabe d) EGSRL). 

Absatz 3 des geltenden Signaturgesetzes wird in § 5 Abs. 2 
Satz 3 SigG-E aufgenommen. 

Zu §8 

Mit der Vorschrift wird Anhang II Buchstabe b) EGSRL 
umgesetzt. Sie greift auf § 8 SigG zurück. 

Zur Überschrift 

Redaktionelle Anpassung an die neuen Begriffe in § 2 
SigG-E. 

Zu Absatz 1 

Neben redaktionellen Anpassungen an die neuen Begriffe in 
§ 2 SigG-E wird in Umsetzung von Anhang II Buchstabe b) 
EGSRL in Satz 1 vor den Worten „zu sperren“ das Wort 
„unverzüglich“ eingefügt. Weiter wird in Satz 1 zur Präzi- 
sierung das Wort „erwirkt“ durch das Wort „ausgestellt“ er- 
setzt. Das Wort „erwirkt“ stellt darauf ab, dass absichtlich 
ein Zertifikat mit falschen Angaben herbeigeführt wurde; 
eine Sperrung soll jedoch auch möglich sein, wenn in ein 
Zertifikat irrtümlich falsche Angaben aufgenommen wur- 
den. 

Die Vorschrift in Satz 3 trägt den Erfahrungen im Rahmen 
der Evaluierung des Signaturgesetzes Rechnung. Wird in ei- 


nem qualifizierten Zertifikat einer Person z. B. fälschlicher- 
weise die Zulassung als Arzt bescheinigt und das Zertifikat 
erst einige Zeit später, nachdem dies festgestellt wurde, ge- 
sperrt, kann noch eine große Anzahl von zuvor signierten 
elektronischen Dokumenten im Umlauf sein. Erhält ein 
Dritter ein vor dem Zeitpunkt der Sperrung des Zertifikates 
signiertes elektronisches Dokument, wird er grundsätzlich 
von einer rechtmäßigen Signatur und zutreffenden Angaben 
im Zertifikat ausgehen. Um in solchen Fällen potenziellen 
Schaden nach Möglichkeit zu vermeiden, soll dem Zertifi- 
zierungsdiensteanbieter ausdrücklich das Recht eingeräumt 
werden, den Umstand, dass ein Zertifikat mit falschen An- 
gaben ausgestellt wurde, z. B. in den Zertifikatverzeichnis- 
Auskünften (vgl. § 5 Abs. 1 Satz 2 SigG-E) kenntlich zu 
machen. Da das Kenntlichmachen des Umstandes vor allem 
im Interesse des für den korrekten Inhalt der Zertifikate haf- 
tenden Zertifizierungsdiensteanbieters hegt, soll es auch in 
dessen Ermessen gestellt sein. 

Zu Absatz 2 

Die Vorschrift wird an die Änderungen in § 5 Abs. 2 
SigG-E angepasst. Sie greift vor allem die im Rahmen der 
Evaluierung des Signaturgesetzes geäußerten Petita der Be- 
rufskammem auf, nach der auch die für die berufsbezoge- 
nen Angaben zuständigen Stellen eine Sperrung veranlassen 
können sollen, wenn Zertifikate unzutreffende Angaben 
über Zulassungen aus ihrem Zuständigkeitsbereich ent- 
halten. Mit der Vorschrift in Absatz 2 erhalten die für be- 
rufsbezogene oder sonstige Angaben zur Person zustän- 
digen Stellen ausdrücklich das Recht eingeräumt, eine 
Sperrung der betreffenden Zertifikate zu beantragen. Die 
Vorschrift nutzt den von der Richtlinie zugestandenen Frei- 
raum für die Regelungen von Attributen zur Person (vgl. 
Anhang I Buchstabe d) EGSRL). Unabhängig davon kön- 
nen die genannten Stellen Sperrungen im Rahmen ihrer Zu- 
ständigkeit und der geltenden Rechtsvorschriften auch aus 
anderen Gründen veranlassen; es wird hierzu auf die Aus- 
führungen zu § 5 Abs. 2 verwiesen. 

Absatz 3 des geltenden Signaturgesetzes wird in § 16 Abs. 1 
Satz 3 SigG-E aufgenommen. 

Zu §9 

Die Vorschrift setzt Anhang II Buchstabe c) EGSRL um 
(vgl. Begründung zu § 2 Nr. 14 SigG-E). Sie greift auf § 9 
SigG zurück. 

Die Richtlinie umschreibt in Anhang II Buchstabe c) nur 
abstrakt die Möglichkeit des Einsatzes von Zeitstempeln 
(„ . . . Datum und Uhrzeit der Ausstellung oder des Wider- 
rufs eines Zertifikats ...“), ohne diese als solche zu nennen 
oder deren Einsatz oder Funktion näher zu beschreiben. 
Hieraus ergibt sich, dass dieser Dienst nach der Richtlinie 
nicht zwingend Bestandteil des Leistungsumfanges eines 
Zertifizierungsdiensteanbieters ist. Deshalb erfolgt eine Än- 
derung des geltenden § 9 SigG dahin gehend, dass die Aus- 
stellung von qualifizierten Zeitstempeln von einer Pfiicht- 
dienstleistung zu einer Wahldienstleistung wird. Damit wird 
zugleich die Möglichkeit eröffnet, gesetzeskonforme Zeit- 
stempeldienste auch separat anzubieten. 
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Zu §10 

Mit der Vorschrift wird Anhang II Buchstabe i) EGSRL um- 
gesetzt. Sie greift auf § 10 SigG zurück. 

Zu Absatz 1 

Neben einer redaktionellen Anpassung von Satz 1 an die 
neuen Begriffe nach § 2 SigG-E werden die Sätze 2 und 3 
neu angefügt. 

Mit der Vorschrift in Absatz 1 wird den Anforderungen des 
Anhangs II Buchstabe b) und i) EGSRL Rechnung getra- 
gen. Die Dokumentation kann im Streitfälle bei Gericht als 
wichtiges Beweismittel dienen. Dies gilt insbesondere, 
wenn öffentlich anerkannte fachkundige Dritte die Sicher- 
heit geprüft und bestätigt haben (vgl. § 1 8 Abs. 2 Satz 2 
SigG-E). Mit der Haftungsregelung nach § 1 1 Abs. 2 SigG-E 
und der Bußgeldvorschrift nach § 21 SigG-E kommt der 
Dokumentation zusätzliche Bedeutung zu. Die Regelung 
des Satzes 1 ist bußgeldbewehrt (vgl. § 21 Abs. 1 Nr. 9 
SigG-E). 

Den Vorschriften in Absatz 1 Satz 2 und 3 kann dadurch 
entsprochen werden, dass die Dokumentation organisato- 
risch getrennt und in elektronischer Form mit qualifiziertem 
Zeitstempel erfolgt. So können z. B. Telefonanrufe zwecks 
Sperrung von Zertifikaten und daraufhin durchgeführte 
Sperrungen an einer technisch und organisatorisch getrenn- 
ten Stelle unter den datenschutzrechtlichen Voraussetzun- 
gen gespeichert und mit qualifizierten Zeitstempeln ver- 
sehen werden. 

Zu Absatz 2 

Absatz 2 ist notwendige Folge des von der Richtlinie (vgl. 
Artikel 3 Abs. 1) vorgegebenen Wegfalls des bisherigen 
Genehmigungsvorbehaltes für Zertifizierungsdienste (mit 
vorheriger Prüfung der Sicherheit). Die Vorschrift eröffnet 
dem Signaturschlüssel-lnhaber die Möglichkeit, sich von 
der Korrektheit der ihn betreffenden Daten und Verfahrens- 
schritte (z. B. der unverzüglichen Durchführung einer bean- 
tragten Sperrung eines qualifizierten Zertifikates) zu über- 
zeugen, ohne ein Gerichtsverfahren anstrengen zu müssen. 
Dies dient dem Vertrauensschutz und der Entlastung der 
Gerichte. Der Zertifizierungsdiensteanbieter kann dem Sig- 
naturschlüssel-lnhaber die damit verbundenen Kosten in 
Rechnung stellen. 

Zu §11 

Mit der Vorschrift wird Artikel 6 EGSRL umgesetzt und 
dem Petitum des Bundesrates im Gesetzgebungsverfahren 
zum Informations- und Kommunikationsdienstegesetz (vgl. 
Bundesrats-Drucksache 420/97 (Beschluss)) entsprochen. 
Außerdem trägt die Regelung dem Entschließungsauftrag 
des Deutschen Bundestages vom 1 1 . Juni 1 997 zum Infor- 
mations- und Kommunikationsdienste-Gesetz (luKDG) 
Rechnung (Bundestagsdrucksache 13/7935). Mit diesem 
Beschluss hat der Deutsche Bundestag die Bundesregierung 
beauftragt, die Frage der Haftung im Zusammenhang mit 
der Einführung und Umsetzung digitaler Signaturen im 
Rahmen der Evaluierung des Gesetzes gesondert zu über- 
prüfen. Im luKDG-Bericht zum Gesetz hat die Bundesre- 


gierung auf die Notwendigkeit einer spezifischen Haftungs- 
regelung für Zertifizierungsdiensteanbieter hingewiesen 
(vgl. Bundestagsdrucksache 14/1191, S. 33). 

Die vorgesehene Haftung erstreckt sich über die Mindest- 
regelungen in Artikel 6 EGSRL hinaus auf die gesamten 
Leistungen eines Zertifizierungsdiensteanbieters (Ausstel- 
lung von qualifizierten Zertifikaten, Auskünfte aus dem Zer- 
tifikat-Verzeichnis, Ausstellung von qualifizierten Zeitstem- 
peln), die schädigende Auswirkungen gegenüber Dritten 
haben können. 

Mit der Ausstellung eines qualifizierten Zertifikates ist auch 
die Aussage verbunden, dass der Signaturschlüssel-lnhaber 
über eine sichere Signaturerstellungseinheit verfügt (vgl. 
§ 5 Abs. 6 SigG-E) und dass der jeweilige Signaturschlüssel 
nur auf dieser gespeichert ist (vgl. § 5 Abs. 4 Satz 3 und 
§ 17 Abs. 3 Nr. 1 SigG-E). 

Die rechtliche Gleichstellung der qualifizierten elektroni- 
schen Signatur mit der eigenhändigen Unterschrift (vgl. 
Begründung zu § 6 Abs. 2 SigG-E) in allen Lebensberei- 
chen macht eine umfassende Haftung erforderlich. Die 
Richtlinie erfasst nach Artikel 6 Abs. 1 nur, dass die An- 
gaben in einem qualifizierten Zertifikat zum Zeitpunkt der 
Ausstellung richtig und vollständig sein müssen (Buch- 
stabe a)), der Signaturschlüssel-lnhaber zum Zeitpunkt der 
Ausstellung des qualifizierten Zertifikates im Besitz des be- 
treffenden Signaturschlüssels gewesen sein muss (Buch- 
stabe b)) und dass der Signaturschlüssel im Besitz des Sig- 
naturschlüssel-Inhabers und der Signaturprüfschlüssel im 
qualifizierten Zertifikat zusammenpassen müssen (Buch- 
stabe c)). Diese „Mindestregelung“ (vgl. Artikel 6 Abs. 1 
Satz 1 EGSRL) erfasst damit Sachverhalte von entscheiden- 
der Bedeutung nicht, etwa die Nutzung ungeeigneter Pro- 
dukte für elektronische Signaturen (mit der möglichen 
Folge, dass qualifizierte Zertifikate gefälscht werden kön- 
nen) oder die Preisgabe von Signaturschlüsseln (mit der 
Folge, dass qualifizierte elektronische Signaturen nach Be- 
lieben gefälscht werden können). 

Die im SigG-E vorgesehene umfassende Haftung gibt allen, 
die Angaben in einem qualifizierten Zertifikat, einer Aus- 
kunft aus dem Zertifikat- Verzeichnis oder einem qualifizier- 
ten Zeitstempel vertrauen, Sicherheit und trägt so auch zur 
Etablierung der elektronischen Signatur im Rechts- und Ge- 
schäftsverkehr bei. Die Haftungsregelung gilt für alle Zerti- 
fikate und Zeitstempel mit dem Merkmal „qualifiziert“ (vgl. 
auch Begründung zu § 2 Nr. 8 SigG-E). 

Mit der Vorschrift wird zugleich eine unsichere Rechtslage 
beendet, ln der Literatur ist es umstritten, ob Zertifizie- 
rungsdiensteanbieter nach geltendem Recht, z. B. gegen- 
über einem auf ein Zertifikat vertrauenden Dritten, für ein 
fahrlässig falsch ausgestelltes oder verwaltetes Zertifikat 
haften, wenn dem Dritten dadurch ein reiner Vermögens- 
schaden entstanden ist. Teilweise wird in diesen Fällen eine 
Haftung verneint; teilweise wird angenommen, dass be- 
stimmte Vorschriften des Signaturgesetzes und der Signa- 
turverordnung Schutzgesetze i. S. von § 823 Abs. 2 BGB 
sind oder dass die Grundsätze des Vertrages mit Schutz- 
wirkung zugunsten Dritter zur Anwendung kommen. Recht- 
sprechung zu dieser Frage liegt noch nicht vor. 
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Zu Absatz 1 

Absatz 1 beschreibt den objektiven Haftungstatbestand. Der 
Zertifizierungsdiensteanbieter haftet bei Verletzung der An- 
forderungen des Signaturgesetzes und der Signaturverord- 
nung beim Erbringen der gesetzlich vorgesehenen Dienst- 
leistungen. Er ist in diesem Zusammenhang auch verant- 
wortlich für das Funktionieren seiner Produkte für elektro- 
nische Signaturen und seiner sonstigen technischen 
Sicherungseinrichtungen (z. B. Firewall-Rechner und Zu- 
trittskontrollsysteme). Satz 1 beschreibt die Kernaufgaben 
des Zertifizierungsdiensteanbieters, deren ordnungsgemäße 
und zuverlässige Erfüllung für die Wirkung der qualifizier- 
ten elektronischen Signaturen im Rechtsverkehr notwen- 
dige Voraussetzung ist. 

Die Haftung für Verrichtungsgehilfen bestimmt sich nach 
§831 des Bürgerlichen Gesetzbuches. An die für die Aus- 
wahl und Überwachung der Personen im Verkehr erforderli- 
che Sorgfalt (vgl. § 83 1 Abs. 1 Satz 2 BGB) sind angesichts 
der besonders verantwortungsvollen Aufgabe des Zertifizie- 
rungsdiensteanbieters hohe Anforderungen zu stellen. 

Zu ersetzen ist der einem in redlicher Weise (vgl. Absatz 1 
Satz 2) vertrauenden Dritten adäquat kausal entstandene 
Schaden nach dem Leitbild des Vertrauensschadens in § 122 
BGB. Art und Umfang des Schadensersatzes bestimmen 
sich nach den §§ 249 ff. BGB. § 254 BGB findet Anwen- 
dung, wenn auf Seiten des in redlicher Weise vertrauenden 
Dritten ein Mitverschulden vorliegt. Dies gilt sowohl für ein 
Mitverschulden bei Entstehung des Schadens, als auch für 
ein Verschulden im Hinblick auf die Schadensminderungs- 
pfiicht. Ein Mitverschulden liegt regelmäßig vor, wenn der 
Dritte den Schaden durch Nachprüfung des Zertifikates 
hätte verringern oder vermeiden können. 

Zu Absatz 2 

Die Vorschrift stellt klar, dass es sich um eine Verschuldens- 
haftung mit Beweislastumkehr handelt. Kann der Zertifizie- 
rungsdiensteanbieter nachweisen, dass er die Verletzung 
nicht zu vertreten hat, tritt die Haftung nicht ein. Akkredi- 
tierte Zertifizierungsdiensteanbieter können sich dabei auf 
die dokumentierten Ergebnisse der Prüfungen durch öffent- 
lich anerkannte fachkundige Dritte (vgl. §§15 Abs. 3 und 
Abs. 8 sowie 18 Abs. 2 Satz 2 SigG-E) stützen. 

Zu vertreten ist gemäß § 276 Abs. 1 BGB Vorsatz und Fahr- 
lässigkeit. An die „im Verkehr erforderliche Sorgfalt“ sind 
in diesem Zusammenhang keine geringen Anforderungen 
zu stellen. Zertifizierungsdiensteanbieter müssen vertrau- 
enswürdig sein und nehmen besonders verantwortungsvolle 
Aufgaben wahr, auf deren ordnungsgemäße Ausführung 
sich der Rechtsverkehr verlassen muss. 

Zu Absatz 3 

Absatz 3 bestimmt, unter welchen Voraussetzungen die Er- 
satzpflicht nicht eintritt. Eine Haftungsbeschränkung ist nur 
über eine Verwendungsbeschränkung des Signaturschlüs- 
sels im Zertifikat möglich. Eine davon losgelöste Beschrän- 
kung der Haftung des Zertifizierungsdiensteanbieters ist - 
im Einklang mit der Richtlinie - nicht zulässig. 

Enthält das Zertifikat gemäß § 7 Abs. 1 Nr. 7 SigG-E Anga- 
ben, dass die Nutzung des Signaturschlüssels auf bestimmte 


Anwendungen nach Art oder Umfang beschränkt ist, so 
wird für Nutzungen, die diese Einschränkung überschreiten, 
nicht gehaftet. Der Dritte ist insofern auch nicht schutzwür- 
dig, da diese Einschränkung aus dem Zertifikat für jeder- 
mann ersichtlich ist. Damit die Einschränkung wirksam 
wird, muss sie im qualifizierten Zertifikat angegeben sein 
(vgl. auch Artikel 6 Abs. 3 und 4 EGSRL). Nur so ist si- 
chergestellt, dass alle potenziell Betroffenen entsprechende 
Kenntnis erhalten. 

Eine Beschränkung der Nutzung des Signaturschlüssels 
nach § 7 Nr. 7 SigG-E kann im Rahmen des Dienstleis- 
tungsvertrages zwischen Zertifizierungsdiensteanbieter und 
Signaturschlüssel-Inhaber sowohl vom Signaturschlüssel- 
Inhaber als auch von dem das Zertifikat ausstellenden Zerti- 
fizierungsdiensteanbieter ausgehen, falls dieser sein Haf- 
tungsrisiko begrenzen will. 

Zu Absatz 4 

Die Vorschrift stellt klar, dass der Zertifizierungsdienstean- 
bieter auch dann haftet, wenn er sich Dritter bedient oder 
wenn er für Dritte einsteht. Artikel 6 EGSRL sieht unab- 
hängig von der Organisationsform eine Haftung bei allen 
von dem Zertifizierungsdiensteanbieter ausgestellten quali- 
fizierten Zertifikaten vor. Die nach Artikel 7 Abs. 1 Buch- 
stabe b) EGSRL vorgesehene Möglichkeit, dass ein Zertifi- 
zierungsdiensteanbieter für einen ausländischen Zertifizie- 
rungsdienst „einsteht“, schließt zwangsläufig die Haftung 
ein. 

Durch Satz 2 wird spezialgesetzlich angeordnet, dass der 
Entlastungsbeweis der allgemeinen Regelung des § 831 
Abs. 1 Satz 2 BGB nicht zur Anwendung kommt. Der An- 
wendungsbereich von Satz 2 ist begrenzt: Er greift tatbe- 
standlich nur ein, wenn der beauftragte Dritte Verrichtungs- 
gehilfe im Sinne des § 83 1 BGB ist. Für alle anderen beauf- 
tragten Dritten haftet der Zertifizierungsdiensteanbieter oh- 
nehin nach Satz 1 ohne Entlastungsmöglichkeit. Dies wird 
in der Regel bei einer Aufgabenübertragung mit einem ge- 
wissen Grad an Selbständigkeit der Fall sein. Für den Fall, 
dass ein eingebundener Dritter einmal Verrichtungsgehilfe 
des Zertifizierungsdiensteanbieters sein sollte, führt Satz 2 
zum gleichen Haftungsmaß des Zertifizierungsdiensteanbie- 
ters: Hiernach haftet - abweichend vom Regelfall nach 
§831 Abs. 1 Satz 2 BGB - ausnahmsweise ein Zertifizie- 
rungsdiensteanbieter für eingebundene Dritte auch dann, 
wenn er darlegen kann, dass er bei der Auswahl und Über- 
wachung die erforderliche Sorgfalt beachtet hat. Diese Aus- 
nahmeregelung von § 83 1 Abs. 1 Satz 2 BGB ist durch die 
besondere Konstellation bedingt und daher nicht verallge- 
meinerbar. Da die Auslagerung von Tätigkeiten der Zertifi- 
zierungsdiensteanbieter die Regel sein dürfte (vgl. § 4 
Abs. 5 SigG-E mit Begründung), würde bei der Möglichkeit 
des Entlastungsbeweises die umfassende Haftungsregelung 
in diesen Fällen zu einem wesentlichen Teil leer laufen, und 
es würde eine Verlagerung von Aufgaben der Zertifizie- 
rungsdiensteanbieter auf Dritte als Verrichtungsgehilfen ge- 
radezu provoziert. Eine unterschiedliche haftungsrechtliche 
Behandlung von beauftragten Dritten, die Verrichtungsge- 
hilfen sind, und solchen, für die der Zertifizierungsdiens- 
teanbieter nach Satz 1 ohne Exkulpationsmöglichkeit haftet, 
wäre aus Sicht des Geschädigten, der keinen Einblick in das 
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interne Verhältnis zwischen Zertifizierungsdiensteanbieter 
und Dritten hat, nicht nachvollziehbar und nicht gerechtfer- 
tigt. Die Ausnahme von § 831 Abs. 1 Satz 2 BGB ist des- 
halb im Interesse einer einheitlichen umfassenden Haftung 
notwendig und durch die zentrale Bedeutung der Zertifizie- 
rungsdiensteanbieter für den elektronischen Rechts- und 
Geschäftsverkehr und das ihnen entgegengebrachte Ver- 
trauen gerechtfertigt. 

Zu §12 

Die Vorschrift dient der Umsetzung von Artikel 6 und An- 
hang II Buchstabe h) EGSRL. Sie stellt sicher, dass Zerti- 
fizierungsdiensteanbieter ihrer gesetzlichen Verpflichtung 
zum Schadensersatz nach § 11 SigG-E auch tatsächlich 
nachkommen können. 

Die Mindestdeckungssumme gilt für den einzelnen Scha- 
densfall, wobei ein auslösendes Ereignis (z. B. gefälschtes 
Zertifikat) zu einer Vielzahl von Einzelschäden fuhren kann. 
Da Anzahl und Höhe pofenzieller Schäden damit nur 
schwer vorhersehbar sind (so kann z. B. ein Zertifikat für 
eine Vielzahl von Transaktionen verwendet werden), 
kommt zur Deckungsvorsorge vor allem eine entsprechende 
Versicherung in Betracht. Alternativ kann die Deckungsvor- 
sorge auch in einer entsprechend hohen Kapitaldeckung, 
wie sie etwa bei einer Bank vorhanden ist, bestehen. 

Eine nähere inhaltliehe Bestimmung (z. B. des notwendigen 
Versicherungsschutzes) bleibt der Rechtsverordnung nach 
§ 24 SigG-E Vorbehalten. Dabei werden insbesondere auch 
Regelungen zum Umfang einer zulässigen Begrenzung der 
Versicherungsleistung und eines zulässigen Deckungsaus- 
schlusses zu treffen sein. 

Die vorgesehene Mindestdeckungssumme ist angemessen. 
Sie deckt auf der einen Seite die üblichen Rahmen von geld- 
werten Transaktionen (z. B. beim Online-Banking) ab und 
hält auf der anderen Seite die erforderliche Deckungsvor- 
sorge für die betroffenen Zertifizierungsdiensteanbieter in 
vertretbaren Grenzen. 

Zu §13 

Mit der Vorschrift werden die Anforderungen des An- 
hangs II EGSRL für den Fall der Einstellung der Tätigkeit 
abgebildet. Die Regelung ist integraler Bestandteil eines ge- 
eigneten Systems zur Überwachung der Zertifizierungs- 
diensteanbieter nach Artikel 3 Abs. 3 EGSRL. Sie greift auf 
§ 1 1 SigG zurück. 

Zu Absatz 1 

Die Vorschrift wird gegenüber der bisherigen Regelung in 
§ 1 1 Abs. 2 SigG präzisiert („... hat die Einstellung ihrer 
Tätigkeit unverzüglich . . .“). Satz 2 wird an die Begriffe des 
§ 2 SigG-E angepasst. Die Regelungen der Sätze 1 bis 3 
sind bußgeldbewehrt (vgl. §21 Abs. 1 Nr. 2, 10 und 11 
SigG-E). 

Zu Absatz 2 

Die Vorschrift wird gegenüber der bisherigen Regelung prä- 
zisiert („...Zertifikate nach Satz 1 ...“). Die Regelung 
„oder andernfalls an die zuständige Behörde zu übergeben“ 
entfällt; sie wird in § 15 Abs. 7 Satz 3 SigG-E aufgenom- 


men und gilt damit nur für akkreditierte Zertifizierungs- 
diensteanbieter. 

Die Richtlinie sieht eine Übernahme der Dokumentation 
nicht ausdrücklich vor, schließt eine solche jedoch auch 
nicht aus. Die Pflicht der zuständigen Behörde zur Über- 
nahme der Dokumentation eines Zertifizierungsdienstean- 
bieters, wenn dieser seinen Betrieb einstellt und kein ande- 
rer Zertifizierungsdiensteanbieter zur Übernahme bereit ist, 
gilt daher nur für akkreditierfe Zertifizierungsdiensteanbie- 
ter nach § 15 SigG-E. Unabhängig davon würde eine gene- 
relle Übemahmeverpflichtung für die zuständige Behörde 
eine nicht übersehbare Belastung bedeuten. Es kann nicht 
ausgeschlossen werden, dass Zertifizierungsdiensteanbieter 
bereits nach kurzer Zeit wieder aus dem Markt ausscheiden. 
Bei akkreditierten Zertifizierungsdiensteanbietem, die vor 
ihrer Akkreditierung einer umfassenden Prüfung unterzo- 
gen werden, ist diese Wahrscheinlichkeit deutlich geringer. 

Zu Absatz 3 

Die Vorschrift greift auf § 11 Abs. 3 SigG zurück. 

Zu § 14 

Mit der Vorschrift wird Artikel 8 EGSRL umgesetzt. Sie 
greift auf § 12 SigG zurück. Die Regelungen des § 12 SigG 
entsprechen den Vorgaben der Richtlinie bereits weitge- 
hend; daher sind nur geringfügige Anpassungen erforder- 
lich. 

Zu Absatz 1 

Neben einer redaktionellen Anpassung an die neuen Be- 
griffe nach § 2 SigG-E wird die Verwendung von personen- 
bezogenen Daten entsprechend Artikel 8 Abs. 2 EGSRL ei- 
ner engeren Zweckbindung unterworfen, indem in Satz 3 
des geltenden § 12 SigG die Wörter „oder einer anderen 
Rechtsvorschrift“ entfallen. Damit wird ausgeschlossen, 
dass die Regelung als nicht richtlinienkonformer Verweis 
auf andere Rechtsvorschriften (z. B. § 28 BDSG) verstan- 
den werden könnte. Die Daten dürfen für andere Zwecke als 
für ein Zertifikat danach nur verwendet werden, wenn das 
Signaturgesetz es erlaubt (z. B. für Auskünfte nach § 5 
Abs. 1 Satz 2 SigG-E) oder der Betroffene eingewilligt hat. 

Zu Absatz 2 

Absatz 2 enthält - wie bisher im § 12 Abs. 2 SigG - die 
erforderlichen Regelungen zur Aufdeckung eines Pseudo- 
nyms, um den berechtigten Interessen der Sicherheitsbehör- 
den Rechnung zu tragen. Die Vorschrift wird insoweit er- 
gänzt, als die Aufdeckung eines Pseudonyms auch für 
Zwecke der Finanzbehörden und zum Zweeke der Durch- 
setzung zivilrechtlicher Ansprüche vor Gericht zulässig ist. 

In Satz 1 wird der zu enge Begriff des „Zollkriminalamtes“ 
nach geltendem Signaturgesetz durch den weiteren Begriff 
„Finanzbehörden“ ersetzt, der den des Zollkriminalamtes 
mit umfasst. Es wird klargestellt, dass die Finanzbehörden 
das Recht haben, bei Geschäften im elektronischen Handel 
unter Pseudonymen die Identität einer handelnden Person 
festzustellen; die Zertifizierungsdiensteanbieter sollen inso- 
weit auch zur Auskunft gegenüber den Finanzbehörden und 
gegenüber den Gerichten verpflichtet sein. Durch den letz- 
ten Teilsatz des § 14 Abs. 2 Satz 1 SigG-E werden die An- 
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Ordnungsbefugnisse der Gerichte nicht erweitert. Diese be- 
stimmen sich nach den einschlägigen Verfahrensordnungen. 
Der Teilsatz verpflichtet den Zertifizierungsdiensteanbieter 
nach einer entsprechenden Anordnung der Gerichte, die 
Daten über die Identität des Signaturschlüssel-lnhabers an 
diese zu übermitteln. Eine Übermittlung der Daten darf 
nicht unter Hinweis auf den Datenschutz verweigert wer- 
den. 

Dies bedeutet zwar für das zivil- und arbeitsgerichtliche 
Verfahren, dass das Gericht - abgesehen vom Fall der 
§§ 429, 422 ZPO - private Zertifizierungsdiensteanbieter 
nicht um Mitteilung von Urkunden ersuchen darf Diese 
scheinbare Lücke wird jedoch dadurch geschlossen, dass es 
die Vernehmung einer Auskunftsperson des Zertifizierungs- 
diensteanbieters (z. B. eines Sachbearbeiters) als Zeuge an- 
ordnen darf. Aufgrund des § 14 Abs. 2 Satz 1 letzter Teil- 
satz SigG-E wäre es dem Zeugen verwehrt, sich auf ein 
Zeugnisverweigerungsrecht nach § 383 Abs. 1 Nr. 6 ZPO 
zu berufen; er wäre nach §14 Abs. 2 Satz 1 erster Teilsatz 
zur Übermittlung der Identität des Signaturschlüssel-lnha- 
bers verpflichtet. 

Zu Absatz 3 

Die Vorschrift entspricht Artikel 8 Abs. 2 EGSRL. Nach der 
Systematik des SigG-E fallen unter „Zertifizierungsdienste- 
anbieter“ nur solche, die qualifizierte Zertifikate oder quali- 
fizierte Zeitstempel ausstellen (vgl. § 2 Nr. 8 SigG-E). Die 
Datenschutzregelung nach Artikel 8 EGSRL erfasst jedoch 
auch andere Zertifizierungsdiensteanbieter. Dies gilt unab- 
hängig davon, ob Zertifikate öffentlich oder nur für eine ge- 
schlossene Benutzergruppe ausgestellt werden. Soweit nicht 
die Tätigkeit von Zertifizierungsdiensteanbietem im Zu- 
sammenhang mit der Ausstellung von Zertifikaten steht, 
gelten die Regelungen des Bundesdatenschutzgesetzes. 

Den Vorgaben von Artikel 8 Abs. 1 EGSRL wird bereits 
durch das Bundesdatenschutzgesetz und Artikel 8 Abs. 3 
EGSRL durch § 5 Abs. 3 SigG-E entsprochen. 

Die bisherige Regelung des § 12 Abs. 3 SigG entfallt; sie ist 
im Hinblick auf die Neufassung des § 38 BDSG (Aufhe- 
bung der Anlasskontrolle) entbehrlich. 

Zu §15 

Die Vorschrift setzt die in Artikel 3 Abs. 2 EGSRL für die 
einzelnen Mitgliedstaaten vorgesehene Option zur Ein- 
führung bzw. Beibehaltung freiwilliger Akkreditierungs- 
systeme, die auf eine Steigerung des Niveaus der erbrachten 
Zertifizierungsdienste abzielen, um. Die freiwillige Akkre- 
ditierung soll nach der Richtlinie den Zertifizierungsdiens- 
teanbietem den geeigneten Rahmen für die Weiterentwick- 
lung ihrer Dienste bieten, um das erforderliche Maß an 
Sicherheit, Qualität und Vertrauen zu erreichen. Entspre- 
chend der Richtlinie (vgl. Erwägungsgrand Nr. 11) steht es 
den Zertifizierungsdiensteanbietem frei, sich nach § 15 
SigG-E akkreditieren zu lassen oder sich auf die Anzeige 
des Betriebes nach § 4 Abs. 3 SigG-E zu beschränken. 

Die Umsetzung des von der Richtlinie vorgesehenen Kon- 
zepts der freiwilligen Akkreditierung („Steigerung des Si- 
cherheitsniveaus“) besteht nach § 1 5 SigG-E darin, dass die 
Erfüllung der gesetzlichen Anforderungen bei den Zertifi- 


zierangsdiensteanbietern und den Produkten für elektroni- 
sche Signaturen vorab (bei Zertifizierungsdiensteanbietem 
auch danach in regelmäßigen Zeitabständen sowie bei si- 
cherheitserheblichen Veränderungen) durch öffentlich aner- 
kannte fachkundige Dritte umfassend geprüft und bestätigt 
wird. 

Mit dieser Vorschrift kann das anerkannte Sicherheitsniveau 
des geltenden Signaturgesetzes als eine Option für den 
Markt beibehalten werden. Es wird hierbei weit gehend auf 
die Regelungen des geltenden SigG (Vorschriften über die 
Prüfungs- und Bestätigungsmodalitäten für die Sicherheit 
der Zertifizierangsdienste und der Produkte für elektroni- 
sche Signaturen) zurückgegriffen, da diese Regelungen das 
Konzept der Richtlinie zur freiwilligen Akkreditierung hin- 
sichtlich des Verfahrens („Erlaubnis“) und des angestrebten 
höheren Sicherheitsniveaus („Steigerung“) richtlinienkon- 
form abbilden. 

Bei der Akkreditierung handelt es sich um ein Qualitäts- 
sicherangssystem. Für die Akkreditierung ist die zuständige 
Behörde verantwortlich. Es wird für das Verfahren auf die 
Regulierangsbehörde für Telekommunikation und Post zu- 
rückgegriffen, da diese über die notwendigen Erfahrungen 
im Zusammenhang mit dem der freiwilligen Akkreditierung 
ähnlichen Genehmigungsverfahren nach geltendem SigG 
verfügt. Hierdurch wird zugleich eine rasche und reibungs- 
lose Umsetzung des Verfahrens der freiwilligen Akkreditie- 
rung in Deutschland sichergestellt. Die zuständige Behörde 
kann sich hierbei - wie bereits beim Genehmigungsverfah- 
ren nach dem geltenden Signaturgesetz - privater Stellen 
bedienen. Das Akkreditierangsverfahren bietet damit nicht 
nur ein hohes Maß an Sicherheit, sondern trägt auch wirt- 
schaftlichen Aspekten wie Kosten, Zeitdauer und Transpa- 
renz Rechnung. Zugleich wird der Grundsatz der Subsidia- 
rität staatlichen Handelns gewahrt. 

Eine Akkreditierung kann sowohl vor als auch nach Be- 
triebsaufnahme (und Anzeige nach § 4 SigG-E) erfolgen. 

Zu Absatz 1 

Mit den Sätzen 1 und 2 wird wegen der Vergleichbarkeit der 
Verfahren im Wesentlichen auf die Regelung in § 4 Abs. 1 
SigG zurückgegriffen. Die Vorschrift sieht vor, dass sich die 
Behörde bei der Akkreditierung privater Stellen (z. B. der 
Prüf- und Bestätigungsstellen nach § 18 SigG-E) bedienen 
kann. Es ist zu erwarten, dass - wie bereits bisher im Rah- 
men der Genehmigung - die Aufgaben nach § 15 SigG-E 
weit gehend durch die von der zuständigen Behörde aner- 
kannten privaten Prüf- und Bestätigungsstellen im Wettbe- 
werb erledigt werden. Der zuständigen Behörde ist jedoch 
in jedem Falle die letzte Entscheidung über die jeweilige 
Akkreditierung Vorbehalten. Damit wird eine einheitliche 
Praxis im Hinblick auf das angestrebte Sicherheitsniveau 
gewährleistet. 

Durch das nach Satz 3 und Absatz 8 Satz 2 vorgesehene Gü- 
tezeichen sollen sichere Zertifizierangsdienste und Produkte 
für elektronische Signaturen gefördert werden. Dies führt zu 
einer Markttransparenz, die für die Schaffung eines raschen 
Vertrauensschutzes im täglichen Rechts- und Geschäfts- 
verkehr unerlässlich ist und den zunehmenden Sicherheits- 
anforderangen in den Netzen Rechnung trägt. 
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Mit Satz 4 wird beschrieben, dass durch das Gütezeichen 
der Aspekt der Qualitätssicherung und die hierfür notwendi- 
gen Nachweise deutlich zum Ausdruck gebracht werden 
sollen. Das Sicherheitsniveau qualifizierter elektronischer 
Signaturen, die auf einem qualifizierten Zertifikat eines ak- 
kreditierten Zertifizierungsdiensteanbieters beruhen, ent- 
spricht dem der digitalen Signaturen nach dem geltenden 
Signaturgesetz. An die Stelle der Sicherheitsvermutung aus 
§ 1 Abs. 1 SigG („als sicher gelten können“) tritt jedoch 
eine objektive Beschreibung der Sicherheit in Satz 4 
(„... wird der Nachweis der umfassend geprüften techni- 
schen und administrativen Sicherheit erbracht“). 

Es ist zu erwarten, dass qualifizierten elektronischen Signa- 
turen nach § 15 SigG-E damit im Rahmen von § 292 ZPO-E 
(vgl. Teil A, Abschnitt 1, Absatz 9) und im Rahmen der 
freien Beweiswürdigung der Gerichte ein besonders hoher 
Beweiswert zukommt, der im Ergebnis als eine Art „Sicher- 
heitsvermutung“ gewertet werden kann. An der bisherigen 
Rechtslage ändert sich insoweit nichts. 

Bei einer qualifizierten elektronischen Signatur, die auf 
einem Verfahren der freiwilligen Akkreditierung nach die- 
ser Vorschrift beruht, kann sicher davon ausgegangen wer- 
den, dass sie mit dem Signaturschlüssel des im zugrunde 
liegenden qualifizierten Zertifikat angegebenen Signatur- 
schlüssel-lnhabers erzeugt wurde und dass die signierten 
Daten danach nicht verändert wurden. Aufgrund der nach 
dem Signaturgesetz und der Signaturverordnung vorgesehe- 
nen Sicherheitsvorkehrungen ist weiter zu vermuten, dass 
der im qualifizierten Zertifikat benannte Signaturschlüssel- 
Inhaber die Signatur erzeugt oder die Erzeugung autorisiert 
hat, soweit im Einzelfall nicht andere Fakten entgegenste- 
hen. Die mögliche Autorisierung einer anderen Person 
(z. B. durch Weitergabe der sicheren Signaturerstellungsein- 
heit und PIN) kann ausgeschlossen werden, indem die Sig- 
naturerstellungseinheit über die Nutzung biometrischer 
Merkmale ausschließlich an eine Person gebunden wird. 

Mit Satz 5 wird den Zertifizierungsdiensteanbietem aus- 
drücklich das Recht eingeräumt, sich als akkreditierte Zerti- 
fizierungsdiensteanbieter zu bezeichnen und sich auf die 
nachgewiesene Sicherheit zu berufen. 

Die Vorschrift erfüllt die Anforderungen nach Artikel 3 
Abs. 2 EGSRL. Sie ist objektiv (eindeutige, sachbezogene 
Anforderungen), transparent (durch die Regelung im Gesetz 
und in der Rechtsverordnung nach § 24 SigG-E), verhältnis- 
mäßig (die umfassende Prüfung der Sicherheit ist durch die 
vielfältigen technisch-administrativen Risiken begründet 
und aufgrund vorliegender Erfahrungen mit vertretbarem 
Aufwand möglich) und nicht diskriminierend (der Sicher- 
heitswert anderer Verfahren bleibt unberührt). 

Zu Absatz 2 

Die Vorschrift macht von der Option des Artikels 3 Abs. 7 
EGSRL Gebrauch, wonach die Mitgliedstaaten den Einsatz 
elektronischer Signaturen im öffentlichen Bereich „mög- 
lichen zusätzlichen Anforderungen“ unterwerfen können. 
Die Regelung des Einsatzes elektronischer Signaturen im 
öffentlichen Bereich bleibt den jeweiligen Rechtsvorschrif- 
ten Vorbehalten. Die Vorschrift bildet zur Sicherstellung der 
Einheitlichkeit des Einsatzes elektronischer Signaturen im 
öffentlichen Bereich die Referenzvorschrift für alle Rechts- 


vorschriften des öffentlichen Bereichs, soweit diese in die 
Zuständigkeit des Bundes fallen. Um einen Wildwuchs der 
möglichen zusätzlichen Anforderungen für den Einsatz 
elektronischer Signaturen im öffentlichen Bereich zu ver- 
meiden, ist einzig zulässige „zusätzliche Anforderung“ ge- 
genüber den nach dem SigG-E (§ 2 Nr. 1 bis 3) vorgesehe- 
nen elektronischen Signaturen nur das Verfahren der frei- 
willigen Akkreditierung nach § 15 SigG-E. Die Beschrän- 
kung auf das Verfahren der freiwilligen Akkreditierung im 
Absatz 2 trägt gleichzeitig den Vorgaben von Artikel 3 
Abs. 7 Satz 2 der Richtlinie Rechnung, wonach die An- 
forderungen an den Einsatz elektronischer Signaturen im 
öffentlichen Bereich objektiv, transparent und verhältnis- 
mäßig sein müssen sowie nicht diskriminierend sein dürfen 
(vgl. Ausführungen zu Absatz 1). Es reicht jedoch nicht aus, 
dass Vorschriften, die künftig „zusätzliche Anforderungen“ 
für den Einsatz elektronischer Signaturen im öffentlichen 
Bereich vorsehen, lediglich auf das Verfahren der freiwilli- 
gen Akkreditierung nach § 15 SigG-E verweisen. Auch 
diese haben darüber hinaus in jedem Falle die Anforderun- 
gen nach Artikel 3 Abs. 7 Satz 2 EGSRL zu erfüllen. 

Da nur bei diesen Signaturen eine nachgewiesene Sicherheit 
und dauerhafte Überprüfbarkeit gegeben ist, werden sie im 
Interesse der Rechtssicherheit aller Beteiligten (Bürger, Un- 
ternehmen, Staat) im öffentlichen Bereich in vielen Fällen 
als Äquivalent zur eigenhändigen Unterschrift erforderlich 
sein. 

Zu Absatz 3 

Die Vorschrift in Satz 1 greift auf § 4 Abs. 3 Satz 3 SigG 
zurück. Mit Satz 2 wird nun im Gesetz selbst (bisher nur in 
§15 Abs. 1 der Signaturverordnung) klargestellt, dass die 
Prüfung unter den genannten Voraussetzungen zu wieder- 
holen ist. 

Mit einer Akkreditierung entfällt die Anmeldung nach § 4 
Abs. 3 Satz 1 SigG-E; die übrigen Bestimmungen des § 4 
SigG-E bleiben unberührt. Das Nähere wird in der Rechts- 
verordnung nach § 24 SigG-E geregelt. 

Zu Absatz 4 

Die Vorschrift greift auf § 4 Abs. 4 SigG zurück. 

Zu Absatz 5 

Die Vorschrift greift auf § 4 Abs. 2 Satz 1 SigG zurück. 

Zu Absatz 6 

Die Vorschrift greift auf § 13 Abs. 3 SigG zurück. Der Wi- 
derruf oder die Rücknahme einer Akkreditierung sind 
eigenständige Verwaltungsakte, die z. B. von dem Verwal- 
tungsakt der Untersagung des Betriebes eines Zertifizie- 
rungsdienstes nach § 19 Abs. 3 SigG-E zu trennen sind. 

Zu Absatz 7 

Die Vorschrift greift auf § 11 Abs. 1 und § 13 Abs. 4 SigG 
zurück. Sie führt zu einem erheblichen zusätzlichen Mehr- 
wert von qualifizierten elektronischen Signaturen nach § 1 5 
SiG-E, indem sie sicherstellt, das diese Signaturen langfris- 
tig (mindestens 30 Jahre nach § 13 Abs. 2 der Signaturver- 
ordnung) nachprüfbar bleiben. Sie schafft damit einen zu- 
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sätzlichen Anreiz für die Nutzung der freiwilligen Akkredi- 
tierung. 

Zu Absatz 8 

Die Vorschrift greift auf § 14 Abs. 4 SigG zurück. Sie wird 
redaktionell angepasst. Bei der Prüfvorgabe erfolgt eine 
Präzisierung, indem gemäß einer Anregung aus der Rechts- 
wissenschaft der „Stand der Wissenschaft“ einbezogen 
wird. Die Bestätigung der vorgeschriebenen Prüfung der 
Produkte und Erfüllung der Anforderungen erfolgt durch 
nach § 1 8 anerkannte Stellen. Die Verantwortung des Zerti- 
fizierungsdiensteanbieters und der von ihm beauftragten 
Dritten (vgl. § 4 Abs. 5 SigG-E) beschränkt sich darauf, 
dass die Vorgaben nach Satz 2 Nr. 1 bis 3 eingehalten wer- 
den. 

Zu §16 

Die Vorschrift, die eine Ergänzung zu § 15 SigG-E bildet, 
greift auf § 5 Abs. 4 SigG zurück. Die qualifizierten Zerti- 
fikate der zuständigen Behörde bilden ein entscheidendes 
Sicherheitselement des Akkreditierungssystems. 

Das „Wurzel-Zertifikat“ der Regulierungsbehörde bildet 
eine einheitliche Referenz für alle qualifizierten elektroni- 
schen Signaturen nach § 15 SigG-E. Dies ermöglicht es je- 
dermann, automatisch festzustellen, ob eine solche Signatur 
vorhegt. Die zuständige Behörde hat den für die Ausstel- 
lung qualifizierter Zertifikate benötigten Zertifizierungs- 
dienst seit September 1998 in Betrieb. Diese zukunftsorien- 
tierte Lösung gewährleistet auch die für die praktische 
Anwendung von Signaturen notwendige Interoperabilität 
zwischen den Leistungen verschiedener Zertifizierungs- 
diensteanbieter. 

Zu Absatz 1 und 2 

Die Vorschrift aus § 4 Abs. 5 Satz 1 SigG wird präzisiert, 
indem die Ausstellung von Zertifikaten durch die zustän- 
dige Behörde auch Zertifikate für die Signaturschlüssel zum 
Signieren von Auskünften aus dem Zertifikatsverzeichnis 
sowie zum Signieren von qualifrzierten Zeitstempeln um- 
fasst. Dies entspricht dem tatsächlichen Bedarf, dem in der 
Praxis bereits entsprochen wird. Es ist zu erwarten, dass da- 
mit kein nennenswerter zusätzlicher Aufwand für die Be- 
hörde verbunden ist; im Übrigen werden für diese Leistun- 
gen Kosten erhoben. 

Die von der zuständigen Behörde mit einem Zertifikat ver- 
sehenen Signaturschlüssel können von dem Zertifizierungs- 
diensteanbieter auch zum Signieren von Zertifikaten für 
ausschließliche Zwecke der Authentisierung oder der Ver- 
schlüsselung eingesetzt werden, soweit die für verschiedene 
Zwecke bestimmten Zertifikate durch die Nutzer eindeutig 
zu unterscheiden sind. Damit bildet das „Wurzel-Zertifikat“ 
der zuständigen Behörde eine einheitliche Referenz für alle 
drei kryptographischen Funktionen: Signatur, Authentisie- 
rung und Verschlüsselung, die in weiten Bereichen für Zwe- 
cke des Informations- und Datenschutzes gemeinsam benö- 
tigt werden. Dies dient dem allgemeinen Informations- und 
Datenschutz, wie er zur Wahrung von Grundrechten und 
Sicherheitsinteressen von Unternehmen und Behörden etwa 
bei der Nutzung des Internet benötigt wird. Damit ist in 
keiner Weise die Möglichkeit verbunden, verschlüsselte 


Informationen durch die Behörde oder Dritte zu entschlüs- 
seln. 

Zu Absatz 3 

Die Vorschrift greift eine Forderung der (vorhandenen und 
potenziellen) Zertifizierungsdiensteanbieter auf und trägt 
damit den Bedürfnissen der Praxis entsprechend Rechnung. 

Signaturanwendungskomponenten, die Dritten (z. B. Kun- 
den von Kaufhäusern) geschäftsmäßig zur Nutzung für 
qualifizierte elektronische Signaturen nach § 15 SigG-E an- 
geboten werden, sollen sich gegenüber dem Nutzer authen- 
tisieren (z. B. durch automatische Entschlüsselung und An- 
zeige eines nur ihm bekannten Codewortes, das sich auf 
seiner sicheren Signaturerstellungseinheit befindet). Damit 
erhält der Nutzer eine zuverlässige Bestätigung, dass es sich 
um eine Signaturanwendungskomponente handelt, die den 
gesetzlichen Anforderungen entspricht und die sich in ei- 
nem sicheren Zustand befindet. 

Zu diesem Zwecke werden von den Produktherstellem für 
die Authentisierungsschlüssel in den Produkten „technische 
Zertifikate“ ausgestellt die bei der Authentifizierung auto- 
matisch zum Einsatz kommen. Wie die akkreditierten Zerti- 
fizierungsdiensteanbieter benötigen auch die Hersteller von 
Produkten nach § 15 Abs. 8 SigG-E eine „Wurzelinstanz“. 
Dafür bietet sich der bereits bestehende Zertifizierungs- 
dienst bei der zuständigen Behörde, die herstellemeutral 
und vertrauenswürdig ist, an. Es ist zu erwarten, dass die 
Übernahme dieser Aufgabe durch die zuständige Behörde 
mit keinem wesentlichen zusätzlichen Aufwand verbunden 
ist. Diese trägt vielmehr dazu bei, dass die vorhandenen 
technischen Einrichtungen für die Vergabe von Zertifikaten 
eine höhere Auslastung erfahren. Im Übrigen werden für die 
Leistungen Kosten erhoben. 

Zu §17 
Zu Absatz 1 

Die Vorschrift, die auf § 14 Abs. 1 SigG zurückgreift, setzt 
Anhang III EGSRL um. Die näheren Einzelheiten werden 
wie bisher in der Rechtsverordnung (vgl. § 24 SigG-E) ge- 
regelt. 

Die von der Richtlinie vorgesehenen Anforderungen an 
sichere Signaturerstellungseinheiten des Anhangs III be- 
dingen insbesondere die Einmaligkeit und Geheimhaltung 
des Signaturschlüssels sowie einen wirksamen Schutz der 
sicheren Signaturerstellungseinheit vor einer Nutzung durch 
Unbefugte. Schließlich darf der Signaturschlüssel nicht aus 
dem Signaturprüfschlüssel oder signierten Daten errechnet 
werden können. 

Signaturschlüssel können wahlweise auf einer sicheren 
Signaturerstellungseinheit (Satz 2) oder bei einem Zertifi- 
zierungsdiensteanbieter erzeugt und dort auf die Signatur- 
erstellungseinheit geladen werden (Absatz 3 Nr. 1). Nach 
dem Stand der Technik sind sichere Signaturerstellungsein- 
heiten (z. B. Chipkarten), auf denen die Signaturschlüssel 
selbst erzeugt werden, in naher Zukunft zu erwarten. Die 
Vorschrift trägt bereits diesen Entwicklungen Rechnung. 
Derzeit werden die Signaturschlüssel noch bei den Zertifi- 
zierungsdiensteanbietern erzeugt und dort unter hohen Si- 
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cherheitsvorkehrungen auf sichere Signaturerstellungsein- 
heiten übertragen. 

Um einer Nutzung von sicheren Signaturerstellungsein- 
heiten durch Unbefugte wirksam vorzubeugen, können bio- 
metrische Merkmale genutzt werden. Dabei macht es die 
moderne Technik möglich, die Referenzdaten unmittelbar 
über die Signaturerstellungseinheit selbst (z. B. Sensoren 
auf einer Chipkarte) oder auf andere Weise so zu erfassen 
und auf diese zu übertragen, dass die Daten ausschließlich 
auf ihr gespeichert werden, und damit keine Datenschutz- 
probleme entstehen. Die Vorschrift ist für die Nutzung bio- 
metrischer Merkmale entwicklungsoffen. Die Vorschrift in 
§ 16 Abs. 2 Satz 3 der Signaturverordnung sieht die Nut- 
zung biometrischer Merkmale bereits als zusätzliches Iden- 
tifikationsmerkmal (zu Besitz und Wissen) vor. 

Aus der Wirtschaft und von der Arbeitsgemeinschaft der 
Verbraucherverbände wird unter Hinweis auf den techni- 
schen Fortschritt auf diesem Gebiete jedoch einvemehmlich 
die Forderung erhoben, die Nutzung biometrischer Merk- 
male künftig nicht nur ergänzend, sondern auch alternativ 
zur Identifikation durch Wissen (Personenidentifikations- 
nummer - PIN) zuzulassen. Damit soll die Nutzung biomet- 
rischer Merkmale gefördert und mit der Nutzung die 
Rechtssicherheit im elektronischen Rechts- und Geschäfts- 
verkehr im Interesse aller Beteiligten weiter verbessert wer- 
den. Die Bundesregierung wird diese Frage im Rahmen der 
Neufassung der Signaturverordnung aufgreifen. 

Zu Absatz 2 

Mit der Vorschrift, die auf § 14 Abs. 2 SigG zurückgreift, 
wird Anhang IV EGSRL umgesetzt; dieser ist als Empfeh- 
lung zwar nicht verbindlich umzusetzen, eine Umsetzung ist 
jedoch nach Artikel 3 Abs. 6 EGSRL ausdrücklich er- 
wünscht, um die Entwicklung und die Nutzung von Signa- 
turprüfeinheiten zu fördern. Die Vorschrift nimmt darüber 
hinaus eine Präzisierung dahingehend vor, dass alle bei An- 
wendung (Erzeugung oder Prüfung) qualifizierter elektroni- 
scher Signaturen relevanten Sicherheitsaspekte erfasst wer- 
den (vgl. auch Begründung zu § 2 Nr. 11 SigG-E). 

Die Nutzung geeigneter Signaturanwendungskomponenten 
bleibt in das Ermessen der Signaturschlüssel-Inhaber ge- 
stellt. Unabhängig davon wird mit Satz 2 die Notwendigkeit 
zum Einsatz geeigneter Signaturanwendungskomponenten 
unterstrichen. 

Mit der Formulierung „soll“ in Satz 3 wird im Hinblick auf 
die Richtlinie und unterschiedlichen Auslegungsmöglich- 
keiten des Signaturgesetzes zugleich klargestellt, dass die 
Verwendung von geeigneten Signaturanwendungskompo- 
nenten nicht Voraussetzung für die Erzeugung einer qualifi- 
zierten elektronischen Signatur ist. Dies ergibt sich schon 
daraus, dass aus einer elektronischen Signatur nicht ersicht- 
lich ist, welche Signaturanwendungskomponente bei ihrer 
Erzeugung zum Einsatz kam. Hinzu kommt, dass im Einzel- 
fall auch „andere geeignete Maßnahmen“ (z. B. PC oder 
Laptop unter ständiger Kontrolle und ohne Anschluss an ein 
Kommunikationsnetz) ausreichend Sicherheit bieten kön- 
nen. 


Zu Absatz 3 

Mit der Vorschrift, die auf § 14 Abs. 3 SigG zurückgreift, 
wird Anhang II Buchstabe f) EGSRL umgesetzt. Danach 
müssen Zertifizierungsdiensteanbieter vertrauenswürdige 
Systeme und Produkte einsetzen, die vor Veränderung ge- 
schützt sind und die die technische und kryptographische 
Sicherheit der von ihnen unterstützten Verfahren gewähr- 
leisten. 

Bei dem Übertragen von Signaturschlüsseln auf sichere Sig- 
naturerstellungseinheiten nach Nummer 1 bleiben technisch 
unvermeidbare temporäre Zwischenspeicherungen unbe- 
rührt. 

Zu Absatz 4 

Die Vorschrift entspricht Artikel 3 Abs. 4 bis 6 EGSRL. Die 
näheren Einzelheiten bleiben der Rechtsverordnung nach 
§ 24 SigG-E Vorbehalten. Dort können auch die zur Zeit des 
Gesetzgebungsverfahrens noch ausstehenden Arbeitsergeb- 
nisse des Ausschusses nach Artikel 9 EGSRL berücksich- 
tigt werden. 

Zu §18 

Die Vorschrift setzt vor allem die Ergebnisse der Evaluie- 
rung des Signaturgesetzes um und nutzt den von der Richtli- 
nie gegebenen Spielraum, namentlich in Bezug auf die Aus- 
gestaltung der freiwilligen Akkreditierung und den hierfür 
notwendigen Einsatz von Prüf- und Bestätigungsstellen. 

Zu Absatz 1 

Die Vorschrift greift eine Anregung aus der Rechtswissen- 
schaft im Rahmen der Evaluierung des Signaturgesetzes auf 
und setzt sie in dieser Vorschrift um. Es wurde diskutiert, ob 
die gesetzliche Grundlage für die Anerkennung von Prüf- 
und Bestätigungsstellen nach den Regelungen des geltenden 
SigG (vgl. § 4 Abs. 3 und § 14 Abs. 4) ausreichend ist, um 
dem rechtlichen Erfordernis für einen Eingriff in das Grund- 
recht nach Artikel 12 Abs. 1 GG Rechnung zu tragen. Es 
ging im Kern um die Frage der ausreichenden gesetzlichen 
Kriterien für die im geltenden Signaturgesetz genannte An- 
erkennung von Prüf- und Bestätigungsstellen und darum, ob 
die Prüf- und Bestätigungsstellen als Beliehene gelten oder 
(nur) als „Verwaltungshelfer“ für die Regulierungsbehörde 
tätig werden. Auch wenn diese Frage keine praktische Be- 
deutung erlangt hat, wird im Hinblick auf die vorgetragenen 
verfassungsrechtlichen Bedenken jetzt durch diese Vor- 
schrift Rechtssicherheit geschaffen. 

Während die Prüfung und Bestätigung der Sicherheit von 
Zertifizierungsdiensten durch dieselbe Stelle erfolgt, muss 
die Prüfung und anschließende Bestätigung der Sicherheit 
von Produkten nach den europäischen Normen EN 45 000 ff. 
durch getrennte Stellen erfolgen. Die für die Bestätigung 
der Sicherheit von Produkten zuständigen Stellen akkredi- 
tieren die Prüfstellen gemäß den genannten Normen selbst. 

Zu Absatz 2 

Die Vorschrift in Satz 1 orientiert sich am Gewerberecht 
(vgl. § 9 Gerätesicherungsgesetz). Die näheren Einzelheiten 
bleiben der Rechtsverordnung nach § 24 SigG-E Vorbe- 
halten. 
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Die Vorschrift in Satz 2 gewährleistet, dass bei qualifizier- 
ten elektronischen Signaturen nach § 15 SigG-E jederzeit 
rückwirkend (für die relevanten Zeitpunkte der Erzeugung 
oder Prüfung von Signaturen) die Sicherheit festgestellt 
werden kann. 

Zu §19 

Die Vorschrift entspricht Artikel 3 Abs. 3 EGSRL. Sie greift 
auf § 4 und § 13 SigG zurück. 

Zu Absatz 1 

Die Vorschrift weist in Satz 1 der zuständigen Behörde die 
Aufsicht über die Zertifizierungsdiensteanbieter zu. Gleich- 
zeitig wird klargestellt, dass die Behörde sich bei ihrer Auf- 
sicht privater Stellen (z. B. der Prüf- und Bestätigungsstel- 
len nach § 18 SigG-E) bedienen kann. 

Die Aufsicht beginnt mit Aufnahme des Betriebes (Satz 2). 
Die Aufsicht muss die Vorgaben des Artikels 3 Abs. 3 
EGSRL erfüllen. Dies lässt nur Kontrollen nach Betriebs- 
aufnahme zu. Eine systematische Kontrolle ist nicht vorge- 
sehen; die Aufsicht ist vielmehr auf anders bezogene Maß- 
nahmen beschränkt. Dies entspricht dem Leitbild der Richt- 
linie, die Genehmigungsverfahren oder solche, die diesen in 
der Struktur ähneln oder von den Wirkungen her einer Ge- 
nehmigung vergleichbar sind, nicht zulässt (vgl. Artikel 3 
Abs. 1 i.V m. Erwägungsgrund Nr. 10 EGSRL). Die zu- 
ständige Behörde kann sich unabhängig hiervon im Rahmen 
einer freiwilligen Akkreditierung von der Sicherheit über- 
zeugen. 

Zu Absatz 2 

Die Vorschrift greift auf § 13 Abs. 1 Satz 1 SigG zurück. 

Zu Absatz 3 

Die Vorschrift greift auf § 4 Abs. 2 und § 13 Abs. 1 Satz 2 
SigG zurück. 

Zu Absatz 4 

Die Vorschrift in Satz 1 greift auf § 13 Abs. 5 Satz 2 SigG 
zurück. Sie schließt eine rückwirkende Auswirkung auf die 
Gültigkeit von qualifizierten Zertifikaten (und damit auf die 
zu einem früheren Zeitpunkt erzeugten qualifizierten elekt- 
ronischen Signaturen) aus; eine mögliche Sperrung der Zer- 
tifikate bleibt unberührt. Der Vorschrift kommt für die 
Rechtssicherheit bei der Anwendung qualifizierter elektro- 
nischer Signaturen hohe Bedeutung zu. 

Stellt ein Zertifizierungsdiensteanbieter zu einem Zeitpunkt, 
zu dem er die formalen Voraussetzungen für den Betrieb 
nach dem Signaturgesetz nicht oder nicht mehr erfüllt (z. B. 
nach Untersagung des Betriebes), Zertifikate aus, so liegen 
in diesem Falle keine qualifizierten Zertifikate im Sinne des 
Signaturgesetzes vor. 

Zu Absatz 5 

Die Vorschrift greift auf § 13 Abs. 5 Satz 1 SigG zurück. 

Zu Absatz 6 

Die Vorschrift dient der Umsetzung von Artikel 1 Satz 1 
und Artikel 5 Abs. 1 EGSRL. 


Damit das Konzept der Richtlinie, das eine EU-weite Aner- 
kennung elektronischer Signaturen nach Artikel 5 Abs. 1 
EGSRL zum Ziel hat, greift, müssen die Nutzer dieser Sig- 
naturen jederzeit online feststellen können, ob eine Signatur 
tatsächlich Artikel 5 Abs. 1 EGSRL bzw. den entsprechen- 
den nationalen Rechtsvorschriften entspricht. Dies erfor- 
dert, dass die jeweilige nationale Aufsichtsstelle ein online 
abrufbares Verzeichnis der Zertifizierungsdiensteanbieter 
führt, die berechtigt sind, qualifizierte Zertifikate für elekt- 
ronische Signaturen nach Artikel 5 Abs. 1 EGSRL auszu- 
stellen. Die Vorschrift ist durch Wahl des Begriffes „Kom- 
munikationsverbindungen“ technologieoffen gestaltet. Es 
wird darüber hinaus auf die Ausführungen zu § 16 Abs. 1 
und 2 und zu § 5 Abs. 1 SigG-E verwiesen. Um eine unbe- 
merkte Fälschung oder Verfälschung des Verzeichnisses 
auszuschließen, muss dieses mit einer qualifizierten elektro- 
nischen Signatur signiert sein. 

Zu §20 

Die Vorschrift dient der Umsetzung von Artikel 3 Abs. 3 
EGSRL. Sie greift auf § 13 Abs. 2 SigG zurück. 

Zu Absatz 1 

Die Vorschrift greift auf § 13 Abs. 2 Satz 1 SigG zurück. 
Durch die Einfügung der Worte „in geeigneter Weise“ wird 
klargestellt, dass die Verpflichtung zur Auskunft und Unter- 
stützung einschließt, dass der Zertifizierungsdiensteanbieter 
oder für ihn tätige Dritte der zuständigen Behörde die für 
die Nutzung elektronischer Daten erforderlichen Einrich- 
tungen zur Verfügung stellen. 

Durch die Einfügung der Worte „auch soweit sie in elektro- 
nischer Form vorliegen“ sollen in der Rechtswissenschaft 
geäußerte Zweifel, ob unter die bisherige Aufzählung auch 
elektronische Dokumente fallen, ausgeräumt werden. 

Zu Absatz 2 

Die Vorschrift greift auf § 13 Abs. 2 Satz 2 SigG zurück. 

Zu §21 

Die Bußgeldvorschrift dient der Umsetzung von Artikel 3 
Abs. 3 EGSRL. Das dort beschriebene „geeignete System 
zur Überwachung“ erfordert nach Wegfall der Genehmi- 
gungspfiicht für Zertifizierungsdiensteanbieter eine entspre- 
chende Bußgeldvorschrift, um eine wirksame Durchsetzung 
der gesetzlichen Vorschriften zu ermöglichen. Die Bußgeld- 
vorschrift greift, anders als die zivilrechtliche Haftung, auch 
dann, wenn durch das normwidrige Verhalten noch kein 
Schaden eingetreten oder dieser strittig ist. 

Ein Bußgeld stellt im Vergleich zu anderen Maßnahmen, die 
von der zuständigen Behörde im Rahmen ihrer Aufsicht 
nach § 19 SigG-E getroffen werden können (z. B. vollstän- 
dige oder teilweise Untersagung des Betriebes), regelmäßig 
das mildere und auch flexiblere Mittel zur Durchsetzung der 
Einhaltung der Vorschriften des SigG-E und der Verordnung 
dar. Eine Bußgeldvorschrift ist daher zur Wahrung des all- 
gemeinen Grundsatzes der Verhältnismäßigkeit geboten. 

Normadressat der Bußgeldregelung ist der Zertifizierungs- 
diensteanbieter. Als Täter einer Ordnungswidrigkeit nach 
dem Ordnungswidrigkeitengesetz (OWiG) kommt grund- 
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sätzlich nur eine natürliche Person in Betracht. In Bezug auf 
Handlungen von Personen, die für den Normadressaten tätig 
sind, gilt § 9 OWiG. Die Festsetzung von Bußgeldern ge- 
genüberjuristischen Personen regelt § 30 OWiG. 

Zu Absatz 1 

Absatz 1 enthält die Tatbestände, die erhebliche Auswirkun- 
gen auf die Sicherheit qualifizierter elektronischer Signatu- 
ren haben können und denen im Hinblick auf die notwen- 
dige Rechtssicherheit bei Anwendung qualifizierter elektro- 
nischer Signaturen Haftungsregelungen für den Schadens- 
fall allein nicht gerecht werden können. 

Zu Nummer 1 

Nummer 1 erfasst den zentralen Tatbestand für das Betrei- 
ben eines Zertifizierungsdienstes. Es handelt sich bei der Er- 
füllung der in § 4 Abs. 2 Satz 1 SigG-E beschriebenen 
Pflichten um Kempflichten des Zertifizierungsdiensteanbie- 
ters, ohne die das ordnungsgemäße Betreiben eines Zertifi- 
zierungsdienstes nach diesem Gesetz nicht möglich ist. Der 
Verweis auf die Rechtsverordnung dient durch Verwendung 
des Wortes „auch“ vor allem der Klarstellung; einer Kon- 
kretisierung des Handlungsgebotes durch die Rechtsverord- 
nung bedarf es hier nicht. 

Zu Nummer 2 

Die Erfüllung der Anzeigepfiichten nach § 4 Abs. 3 Satz 1 
und nach § 13 Abs. 1 Satz 1 SigG-E ist notwendige Voraus- 
setzung dafür, dass die zuständige Behörde ihre Aufsicht 
nach § 19 SigG-E wahmehmen kann. 

Zu Nummer 3 

Nummer 3 erfasst den Tatbestand, dass der Zertifizierungs- 
diensteanbieter eine Person, die ein qualifiziertes Zertifikat 
beantragt, nicht zuverlässig identifiziert. Es handelt sich bei 
der Identifikation des Antragstellers um eine Kernpfiicht 
des Zertifizierungsdiensteanbieters. Eine mangelnde Identi- 
fikation kann zur Folge haben, dass ein qualifiziertes Zertifi- 
kat auf einen falschen Namen ausgestellt und dieses für Be- 
trugszwecke eingesetzt wird. Qualifizierte Zertifikate bilden 
die Grundlage für die Zuordnung qualifizierter elektroni- 
scher Signaturen, die ein Substitut zur handschriftlichen 
Unterschrift bilden können. Ihnen kommt daher im Rechts- 
und Geschäftsverkehr hohe Bedeutung zu. Der Verweis auf 
die Rechtsverordnung bedeutet, dass zur Konkretisierung 
des Handlungsgebotes zusätzlich die Rechtsverordnung he- 
ranzuziehen ist. 

Zu Nummer 4 

Nummer 4 erfasst den Tatbestand, dass der Zertifizierungs- 
diensteanbieter qualifizierte Zertifikate für nicht nachprüfbar 
hält. In diesem Falle sind die Nutzer elektronischer Signatu- 
ren im elektronischen Rechts- und Geschäftsverkehr nicht 
handlungsfähig; damit kann eine entscheidende Funktion 
der qualifizierten elektronischen Signatur, die Authentifizie- 
rung einer Person, nicht erfüllt werden. 

Zum Verweis auf die Rechtsverordnung vgl. oben zu 
Nummer 1. 


Zu Nummer 5 

Nummer 5 erfasst den Tatbestand, dass der Zertifizierungs- 
diensteanbieter qualifizierte Zertifikate ohne Zustimmung 
des Signaturschlüssel-Inhabers abrufbar hält. Da Zertifikate 
wichtige persönliche Daten (z. B. Prokura-Berechtigung in 
erheblichem Umfange für ein Unternehmen) enthalten kön- 
nen, kann dies für die betroffenen Signaturschlüssel-Inhaber 
schwer wiegende Folgen haben (z. B. Erpressungsversuche). 

Zu Nummer 6 

Nummer 6 erfasst den Tatbestand, dass der Zertifizierungs- 
diensteanbieter Angaben in ein qualifiziertes Zertifikat auf- 
nimmt, ohne dass bei Vertretungsrechten die Einwilligung 
der dritten Person oder bei berufsbezogenen oder sonstigen 
Angaben die erforderliche Bestätigung der zuständigen 
Stelle vorliegt. In einem solchen Fall könnten Zertifikate 
z. B. für besonders schwer wiegende Betrugshandlungen 
genutzt werden. 

Zu Nummer 7 

Nummer 7 erfasst den Tatbestand, dass der Zertifizierungs- 
diensteanbieter die Geheimhaltung von Signaturschlüsseln 
nicht gewährleistet. Die Geheimhaltung von Signatur- 
schlüsseln ist notwendige Voraussetzung für das Vertrauen 
in den Rechts- und Geschäftsverkehr mit qualifizierten elekt- 
ronischen Signaturen. Es handelt sich um eine Kernpfiicht 
der Zertifizierungsdiensteanbieter nach dem Gesetz. Zum 
Verweis auf die Rechtsverordnung vgl. oben zu Nummer 1 . 

Zu Nummer 8 

Nummer 8 erfasst den Tatbestand, dass der Zertifizierungs- 
diensteanbieter Signaturschlüssel außerhalb der jeweiligen 
sicheren Signaturerstellungseinheit speichert. In einem sol- 
chen Falle könnten mit Kopien des Signaturschlüssels ge- 
fälschte Signaturen erzeugt werden, die von „echten“ Signa- 
turen nicht zu unterscheiden sind. 

Zu Nummer 9 

Nummer 9 erfasst den Tatbestand, dass ein Zertifizierungs- 
diensteanbieter die gesetzlich vorgeschriebene Dokumenta- 
tion nicht führt. Die Dokumentation bildet eine wichtige 
Grundlage für gerichtliche Entscheidungen im Falle von 
Rechtsstreitigkeiten über die Sicherheit von Signaturen oder 
die pflichtgemäße Aufgabenerfüllung eines Zertifizierungs- 
diensteanbieters. Zum Verweis auf die Rechtsverordnung 
vgl. oben zu Nummer 1 . 

Zu Nummer 10 

Nummer 10 erfasst den Tatbestand, dass ein Zertifizierungs- 
diensteanbieter seinen Pflichten bei Einstellung des Betrie- 
bes hinsichtlich der Übergabe der qualifizierten Zertifikate 
und der Sperrung nicht nachkommt. Es geht um die Siche- 
rung der notwendigen Kontinuität der Nutzung qualifizier- 
ter Zertifikate sowie um die erforderliche Transparenz im 
Falle der Einstellung des Betriebes, die für das Vertrauen 
des Rechts- und Geschäftsverkehrs in die Nutzung qualifi- 
zierter elektronischer Signaturen wichtig ist. Zum Verweis 
auf die Rechtsverordnung vgl. oben zu Nummer 1 . 
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Zu Nummer 11 

Die Signaturschlüssel-Inhaber müssen unterrichtet sein, um 
sich entscheiden zu können, ob sie ihr Zertifikat sperren las- 
sen wollen oder ob sie mit der Übergabe an einen anderen 
Zertifizierungsdiensteanbieter einverstanden sind. Zum Ver- 
weis auf die Rechtsverordnung vgl. oben zu Nummer 3. 

Zu Absatz 2 

Die Vorschrift trägt durch die unterschiedlichen Höchst- 
maße einer Geldbuße für die Tatbestände des Absatzes 1 
Nr. 1, 7 und 8 sowie für die Tatbestände des Absatzes 1 
Nr. 2 bis 6 sowie Nr. 9 bis 11 der jeweiligen Schwere und 
Bedeutung der Verstöße gegen das Gesetz Rechnung. 

Die Tatbestände des Absatzes 1 Nr. 1, 7 und 8 belegen 
Verstöße gegen zentrale Handlungsgebote des SigG-E mit 
einem Bußgeld von bis zu hunderttausend Deutsche Mark. 
Die Erfüllung dieser Handlungsgebote ist unerlässliche 
Voraussetzung zur Schaffung bzw. Aufrechterhaltung einer 
sicheren Infrastruktur im Rahmen des Verfahrens für quali- 
fizierte elektronische Signaturen. Daher ist für diese Hand- 
lungen der höchste Bußgeldbetrag vorgesehen. 

Die übrigen Tatbestände des Absatzes 1 , die mit einer Geld- 
buße von bis zu zwanzigtausend Deutsche Mark belegt wer- 
den können, sind im Regelfall in der Gesamtbetrachtung 
nicht so schwer wiegend wie die oben genannten Fälle des 
Absatzes 1. Es handelt sich hierbei um Formalverstöße, für 
die wegen des vergleichsweise geringeren Unrechtsgehalts 
ein entsprechend abgesenkter Bußgeldbetrag vorgesehen ist. 
Es handelt sich jedoch um Handlungen, die für das ord- 
nungsgemäße Funktionieren des Verfahrens für qualifizierte 
elektronische Signaturen eine wichtige Rolle spielen und im 
Einzelfall die Sicherheitsinfrastruktur erheblich treffen kön- 
nen. Daher ist eine Bußgeldbewehrung dieser Handlungen 
angemessen und gerechtfertigt. 

Es liegt im pflichtgemäßen Ermessen der zuständigen Be- 
hörde, ob und in welcher Höhe sie im Einzelfall je nach 
Schwere des Verstoßes gegen die bußgeldbewehrten Vor- 
schriften des Gesetzes eine Geldbuße verhängt (Kann-Be- 
stimmung). Sie kann im Vorfeld einer möglichen Bußgeld- 
verhängung gegenüber dem Zertifizierungsdiensteanbieter 
auch nur eine entsprechende Verwarnung aussprechen oder 
- bei geringeren Verstößen - lediglich auf die Verletzung 
von Vorschriften hinweisen mit der Bitte, diese abzustellen. 

Zu Absatz 3 

Diese Vorschrift entspricht den Vorgaben des Gesetzes über 
Ordnungswidrigkeiten, die eine Benennung der zuständigen 
Verwaltungsbehörde für die Verfolgung der Ordnungswid- 
rigkeiten, hier die Regulierungsbehörde für Telekommuni- 
kation und Post, verlangt. 

Die Zuständigkeit für die Verhängung von Bußgeldern soll 
bei der zuständigen Behörde nach § 3 SigG-E liegen. Sie 
verfügt über die erforderliche Fachkompetenz, um die rele- 
vanten Tatbestände entsprechend beurteilen zu können. 

Zu §22 

Die Vorschrift greift auf § 4 Abs. 6 SigG zurück. Sie wird 
im Rahmen der neuen Struktur des Gesetzentwurfs an die- 
ser Stelle als eigenständige Vorschrift eingefügt. 


Der Wortlaut der Kostenvorschrift in Absatz 1 geht über den 
des geltenden Signaturgesetzes hinaus, in dem nur von „öf- 
fentlichen Leistungen“ die Rede ist. Der für Absatz 1 ge- 
wählte Begriff „Amtshandlungen“ entspricht dem des Ver- 
waltungskostengesetzes, das hier Anwendung findet. Die 
weiter gehende Fassung mit der enumerativen Beschreibung 
der kostenpflichtigen Maßnahmen der zuständigen Behörde 
ist im Hinblick auf die nach den Vorgaben der Richtlinie 
neu hinzutretenden Aufgaben der zuständigen Behörde 
(Aufsicht über die Zertifizierungsdiensteanbieter) notwen- 
dig. Diese Maßnahmen decken alle Amtshandlungen im Zu- 
sammenhang mit der Aufsicht ab. Die Vorschrift des § 19 
SiG-E sieht keine systematischen, sondern vielmehr anlass- 
bezogene Aufsichtsmaßnahmen vor (vgl. dazu Ausführun- 
gen zu § 19 Abs. 1). Mit dem neuen Satz 2 wird sicherge- 
stellt, dass alle Kosten für beauftragte private Stellen von 
dieser Regelung erfasst werden. Bei der Inanspruchnahme 
privater Stellen ist stets der Tatbestand nach § 22 Abs. 1 
SigG-E gegeben. 

Absatz 2 regelt Kosten, die im Zusammenhang mit dem 
Führen eines online abrufbaren Verzeichnisses nach §§16 
Abs. 3 und 19 Abs. 6 SigG-E entstehen. Es wird im Übrigen 
hinsichtlich der Bemessung der Jahresgebühr auf die Aus- 
führungen zu den Kosten unter A. II. 4 verwiesen. 

Zu §23 

Mit der Vorschrift werden die Artikel 4 EGSRL (Binnen- 
marktgrundsätze), Artikel 5 EGSRL (Rechtswirkung elekt- 
ronischer Signaturen) und Artikel 7 EGSRL (internationale 
Aspekte) umgesetzt. 

Zu Absatz 1 

Elektronische Signaturen, die auf einem ausländischen qua- 
lifizierten Zertifikat beruhen und die Voraussetzungen nach 
Artikel 5 Abs. 1 EGSRL erfüllen, werden qualifizierten 
elektronischen Signaturen gleichgestellt. Dies bezieht sich 
sowohl auf die EG-Mitgliedstaaten (Satz 1) als auch auf 
Drittstaaten (Satz 2), wenn eine der unter den Nummern 1 
bis 3 genannten Voraussetzungen vorliegt. 

Die Vorschrift bezieht sich nur auf qualifizierte elektroni- 
sche Signaturen und die an diese geknüpften Rechtsfolgen. 
Andere elektronische Signaturen, die im Gesetz nicht näher 
geregelt werden, sind bereits nach der bestehenden Rechts- 
lage gleichgestellt. 

Zu Absatz 2 

Damit ausländische elektronische Signaturen den qualifi- 
zierten elektronischen Signaturen des Verfahrens der frei- 
willigen Akkreditierung nach § 15 SigG-E rechtlich gleich- 
gestellt werden können, müssen diese nachweislich gleich- 
wertige Sicherheit aufweisen. Dazu müssen sie gleichen 
oder gleichwertigen Anforderungen, wie sie im SigG-E und 
der Rechtsverordnung nach § 24 SiG-E festgelegt sind, un- 
terliegen. Außerdem muss die Erfüllung der Anforderungen 
vorab im Rahmen eines Akkreditierungsverfahrens (sowie 
bei den Zertifizierungsdiensteanbietern danach in regelmä- 
ßigen Zeitabständen und bei sicherheitserheblichen Verän- 
derungen) in gleicher oder gleichwertiger Weise geprüft und 
bestätigt worden sein. Die Gleichwertigkeit wird durch die 
für die freiwillige Akkreditierung zuständige Behörde fest- 
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gestellt. Einzelheiten regelt die Rechtsverordnung nach § 24 
SigG-E. 

Hiervon unberührt bleibt die Anerkennung von Zertifikaten 
und den darauf basierenden Signaturen nach Artikel 7 
Abs. 1 Buchstabe a) EGSRL, wie sie in Absatz 1 geregelt 
ist. Zertifikate, die nach Artikel 7 Abs. 1 Buchstabe a) 
EGSRL aufgrund eines Verfahrens der freiwilligen Akkre- 
ditierung gemäß der Richtlinie außerhalb des Geltungs- 
bereichs des Signaturgesetzes ausgestellt wurden, werden 
nach Absatz 1 anerkannt. Das Gleiche gilt für den Fall des 
Artikel 7 Abs. 1 Buchstabe c) EGSRL (bilaterale oder mul- 
tilaterale Vereinbarungen), der ebenfalls im Absatz 1 gere- 
gelt ist. Um eine Anerkennung nach Absatz 2 zu erreichen, 
müssen die oben genannten Voraussetzungen namentlich 
des § 15 SigG-E, erfüllt sein. 

Das Verfahren der freiwilligen Akkreditierung nach § 15 
SigG-E steht jedem ausländischen Anbieter offen; er unter- 
liegt den gleichen Bedingungen wie deutsche Anbieter. Die 
Richtlinie räumt nach Artikel 3 Abs. 2 den einzelnen Mit- 
gliedstaaten ausdrücklich die Möglichkeit ein, freiwillige 
Akkreditierungssysteme einzuführen oder beizubehalten. 

Zu Absatz 3 

Mit der Vorschrift in Satz 1 wird Artikel 4 Abs. 2 EGSRL 
umgesetzt. Produkte für elektronische Signaturen, bei denen 
die Erfüllung der Anforderungen nach der Richtlinie in ei- 
nem anderen EG-Mitgliedstaat festgestellt wurde, werden 
denen nach dem Signaturgesetz gleichgestellt. 

Etwas anderes gilt nach Satz 2 für die im Rahmen einer frei- 
willigen Akkreditierung nach besonderen Modalitäten ge- 
prüften Produkte gemäß § 15 Abs. 8 SigG-E. Damit aus- 
ländische Produkte diesen Produkten gleichgestellt werden 
können, müssen sie nachweislich gleichwertige Sicherheit 
aufweisen, d. h. sie müssen gleichen oder gleichwertigen 
Sicherheitsanforderungen unterliegen und die Sicherheit 
muss in gleicher oder gleichwertiger Weise geprüft und be- 
stätigt worden sein. 

Zu §24 

Die Vorschrift greift auf § 16 SigG zurück und wird an den 
Gesetzentwurf angepasst. Neben einer redaktionellen An- 
passung an die neuen Begriffe des § 2 SigG-E wird der Er- 
mächtigungsumfang dem veränderten Regelungsumfang 
des SigG-E angepasst und präzisiert. 

Zu Nummer 1 

Nummer 1 greift auf § 16 Nr. 3 SigG zurück und wird 
hinsichtlich des Ermächtigungsumfangs präzisiert. Es han- 
delt sich bei Nummer 1 um die gesetzlichen Kempflichten 
der Zertifizierungsdiensteanbieter. Eine Ausgestaltung der 
Pflichten der Zertifizierungsdiensteanbieter in der Signatur- 
verordnung trägt zur Rechts- und Planungssicherheit für die 
Unternehmen bei und schafft die erforderliche Handlungs- 
grundlage für die zuständige Behörde zur Umsetzung eines 
geeigneten Systems der Überwachung nach den Vorgaben 
der Richtlinie. Der Ausgestaltung bedürfen daher die Rege- 
lungen zur Betriebsanzeige (§ 4 Abs. 2 und 3 SigG-E), zur 
Vergabe der qualifizierten Zertifikate (§ 5 SigG-E), der Un- 


terrichtungspflicht (§ 6 Abs. 1 SigG-E), der Sperrung von 
qualifizierten Zertifikaten (§ 8 SigG-E), der Dokumentation 
(§10 SigG-E), der Deckungsvorsorge (§12 SigG-E), der 
Einstellung des Betriebes (§13 SigG-E) und der freiwilligen 
Akkreditierung (§ 15 SigG-E). 

Zu Nummer 2 

Nummer 2 umfasst die Ermächtigung für die in § 22 Abs. 1 
und 2 geregelten Kosten. Hinsichtlich der Bemessung der 
Beiträge für die Jahresgebühr nach § 22 Abs. 2 SigG-E wird 
auf die Ausführungen zu den Kosten unter A. 11. 4 verwie- 
sen. 

Zu Nummer 3 

Nummer 3 greift auf § 16 Nr. 4 SigG zurück. Im Hinblick 
auf mögliche notwendige Anpassungen an Ergebnisse des 
Ausschusses nach Artikel 9 EGSRL und im Interesse der 
Rechtssicherheit wird die bisher auf die Gültigkeitsdauer 
beschränkte Ermächtigung auf den näheren Inhalt der Zerti- 
fikate erweitert. 

Zu Nummer 4 

Nummer 4 greift auf § 16 Nr. 6 SigG zurück. Die Vorschrift 
wird nur an die neuen Begriffe in § 2 SigG-E angepasst und 
durch Nennung der Bezugsvorschriften im SigG-E präzi- 
siert. 

Zu Nummer 5 

Die Nummer 5 ist Folge der neuen Vorschrift nach § 18 
SigG-E. 

Zu Nummer 6 

Die Nummer 6 greift auf § 16 Nr. 7 SigG zurück. 

Zu Nummer 7 

Die Nummer 7 ist Folge der neuen Vorschrift nach § 23 
SigG-E. 

Zu §25 

Die Übergangsvorschrift gibt Unternehmen und Privatper- 
sonen, die im Vertrauen auf das geltende Signaturgesetz in 
eine entsprechende Infrastruktur investiert haben, Bestands- 
und Investitionsschutz. 

Absatz 1 gilt für Zertifizierungsdiensteanbieter, die über 
eine Genehmigung nach geltendem SigG verfügen. Die 
Regelungen der Absätze 2 und 4 betreffen darüber hinaus 
den Bestandsschutz für Privatpersonen sowie für Unterneh- 
men und Behörden bezüglich deren Mitarbeiter, die Zertifi- 
kate und Produkte für die Anwendung elektronischer Signa- 
turen beschafft haben. Die Regelung in Absatz 3 betrifft die 
Prüf- und Bestätigungsstellen, die sich auf Prüfungen oder 
Bestätigungen nach dem geltenden Signaturgesetz einge- 
richtet haben. Die Regelung in Absatz 4 betrifft vor allem 
auch Hersteller von gesetzeskonformen Produkten, die in 
die Herstellung und Entwicklung dieser Produkte investiert 
haben. 
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Die Gleichstellung der Leistungen und Produkte nach dem 
geltenden Signaturgesetz ist gerechtfertigt, da diese auch die 
Anforderungen des SigG-E, namentlich die des § 15 SigG- 
E, in vollem Umfange erfüllen. Die nach dem geltenden Si- 
gnaturgesetz ausgestellten Zertifikate sind lediglich nicht 
formal als „qualifiziert“ klassifiziert. Dies kann dadurch be- 
hoben werden, dass die Zertifizierungsdiensteanbieter ihren 
Kunden automatisch neue Zertifikate mit diesem Zusatz 
ausstellen. 


Zu Artikel 2 

Umstellung von Vorsehriften auf Euro 

Im Gesetz sind zur Regelung der Deckungsvorsorge nach 
§ 12 SigG-E und zum Bußgeld nach § 21 SigG-E Beträge 
vorgesehen, die in Deutscher Mark beziffert sind. Die Buß- 
geldbeträge sind erst dann in Euro anzugeben, wenn das Ge- 
setz zur Währungsumstellung am 1. Januar 2002 in Kraft 
tritt, da die öffentliche Verwaltung erst ab diesem Zeitpunkt 
mit Euro-Beträgen operieren wird. 

Zu Artikel 3 

Anpassung von Bundesrecht 

Artikel 3 nennt Regelungen des Bundes, die auf digitale 
Signaturen nach geltendem Signaturgesetz verweisen. 

Zu Absatz 1 

§15 Satz 2 der Verordnung über die Vergabe öffentlicher 
Aufträge sieht für elektronische Dokumente vor, dass diese 
mit einer Signatur nach geltendem Signaturgesetz zu verse- 
hen sind. Der Wortlaut wird durch den Verweis auf qualifi- 
zierte elektronische Signaturen nach § 2 Nr. 3 SigG-E an die 
künftige Rechtslage angepasst. 


Zu Absatz 2 

§ 7 Absatz 3 der Sozialversicherungs-Rechnungsverord- 
nung sieht vor, dass die Zahlungsanordnung im Rahmen der 
Verordnung von dem zur Anordnung Befugten entweder 
durch Unterschrift oder mit einer digitalen Signatur nach 
dem geltenden Signaturgesetz zu versehen ist. Der Wortlaut 
wird durch den Verweis auf qualifizierte elektronische Sig- 
naturen nach § 2 Nr. 3 SigG-E an die künftige Rechtslage 
angepasst. 

Zu Artikel 4 

Rückkehr zum einheitlichen Verordnungsrang 

Um zu vermeiden, dass die im Rahmen des auf Artikel 3 
Abs. 1 und 2 beruhenden Teile der dort geänderten Rechts- 
verordnung künftig nur noch durch Gesetz, aber nicht mehr 
vom Verordnungsgeber späteren Erfordernissen angepasst 
werden können, wird eine besondere Bestimmung vorgese- 
hen, die dies gestattet. 

Zu Artikel 5 
Inkrafttreten 

Artikel 5 regelt das Inkrafttreten der Artikel 1 bis 4 sowie 
das zeitgleiche Außerkrafttreten des geltenden Signaturge- 
setzes. Das neue Signaturgesetz löst damit das geltende Sig- 
naturgesetz ab. Artikel 2 tritt erst mit Umstellung der Wäh- 
rung von Deutscher Mark auf Euro in Kraft. 

Die Richtlinie sieht in Artikel 14 eine Umsetzungsfrist bis 
zum 19. Juli 2001 vor. Eine frühzeitige Umsetzung bereits 
zum 1. Januar 2001 ist zulässig. Sie trägt dem Erfordernis 
der raschen Anpassung an die Standards der Europäischen 
Union Rechnung und soll einen Beitrag dazu leisten, den er- 
reichten Vorsprung auf dem Gebiet der digitalen bzw. elekt- 
ronischen Signaturen zu sichern und weiter auszubauen. 




Drucksache 14/4662 


-36- 


Deutscher Bundestag - 14. Wahlperiode 


Anlage 2 

Stellungnahme des Bundesrates 


Der Bundesrat hat in seiner 754. Sitzung am 29. Septem- 
ber 2000 beschlossen, zu dem Gesetzentwurf gemäß 
Artikel 76 Abs. 2 des Grundgesetzes wie aus der Anlage 
ersichtlich Stellung zu nehmen. 

1. Zu Artikel 1 (§ 2 SigG) 

Die Bundesregierung wird gebeten, im weiteren Gesetz- 
gebungsverfahren zu prüfen, ob 

1. in § 2 eine Definition für die in § 15 Abs. 2 angespro- 
chenen dauerhaft überprüfbaren qualifizierten Signa- 
turen, die auf einem qualifizierten Zertifikat eines ak- 
kreditierten Anbieters beruhen, getroffen werden 
kann. 

2. in § 2 eine gesonderte Definition für diejenigen 
Nachweise zu treffen ist, die in § 16 Abs. 1 Satz 1 als 
qualifizierte Zertifikate bezeichnet werden. 

Begründung 

Zu Nummer 1 

Die in § 15 Abs. 2 angesprochenen qualifizierten elekt- 
ronischen Signaturen unterscheiden sich von anderen 
qualifizierten elektronischen Signaturen im Sinne des 
§ 2 Nr. 3 dadurch, dass sie auf einem qualifizierten Zerti- 
fikat eines akkreditierten Zertifizierungsdiensteanbie- 
ters beruhen und deshalb dauerhaft überprüfbar sind. 
Eine Legaldefinition hätte den Vorteil, dass auf sie in an- 
deren Rechtsvorschriften Bezug genommen werden 
kann. 

Zu Nummer 2 

Soweit ersichtlich, wird der Begriff des qualifizierten 
Zertifikats in § 16 Abs. 1 Satz 1 in einem anderen Sinne 
als in den übrigen Vorschriften verwendet. Nach § 2 
Nr. 7 sind qualifizierte Zertifikate ausschließlich von 
Zertifizierungsdiensteanbietem für natürliche Personen 
ausgestellte besonderen Anforderungen genügende 
elektronische Bescheinigungen, mit denen Signaturprüf- 
schlüssel einer bestimmten Person zugeordnet werden. 
Hingegen wird in § 16 Abs. 1 Satz 1 der Begriff des qua- 
lifizierten Zertifikates auch für einen Nachweis verwen- 
det, den die zuständige Behörde akkreditierten Zertifi- 
zierungsdiensteanbietern ausstellt. 

2. Zu Artikel 1 (§ 6 Abs. 2 Satz 1 SigG) 

In Artikel 1 sind in § 6 Abs. 2 Satz 1 nach dem Wort 
„Antragsteller“ die Wörter „bei der erstmaligen Antrag- 
stellung“ einzufügen. 

Begründung 

Der Antrag dient der Klarstellung des Gewollten. Der 
Begründung des Gesetzentwurfs (vgl. S. 22) ist zu ent- 
nehmen, dass eine Unterrichtung bei einer erneuten An- 
tragstellung (bei demselben oder einem anderen Zertifi- 
zierungsdienst) generell entbehrlich sein soll. Dies 
kommt im Text des § 6 Abs. 2 SigG-E aber nicht zum 


Ausdruck. Ganz im Gegenteil verleitet § 6 Abs. 2 Satz 3 
SigG-E sogar dazu, den umgekehrten Schluss zu ziehen. 

3. Zu Artikel 1 (§ 6 Abs. 2 Satz 2 SigG) 

In Artikel 1 sind in § 6 Abs. 2 Satz 2 nach dem Wort 
„schriftliche“ die Wörter „ , nicht notwendig eigenhän- 
dig unterschriebene“ einzufugen. 

Begründung 

Es ist zur Erreichung des Zwecks der Unterrichtung 
nicht erforderlich, dass die schriftliche Belehrung vom 
Zertifizierungsdiensteanbieter eigenhändig unterschrie- 
ben wird. Dass kein Erfordernis einer eigenhändigen 
Unterschrift besteht, muss in der Regelung aber wegen 
§ 126 Abs. 1 BGB zum Ausdruck kommen. 

4. Zu Artikel 1 (§ 11 SigG) 

ln Artikel 1 ist § 11 wie folgt zu fassen: 

„§ 11 
Haftung 

(1) Verletzt ein Zertifizierungsdiensteanbieter seine 
Pflichten nach diesem Gesetz oder der Rechtsverord- 
nung nach § 24 oder versagen seine Produkte für elekt- 
ronische Signaturen oder sonstige technische Siche- 
rungseinrichtungen, so hat er 

1. dem Empfänger einer qualifizierten elektronischen 
Signatur, die auf einem von ihm ausgestellten Zertifi- 
kat beruht, 

2. dem Empfänger eines von ihm ausgestellten qualifi- 
zierten Zeitstempels, 

3. einer dritten Person, für die nach einem von ihm aus- 
gestellten qualifizierten Zertifikat der Signaturschlüs- 
sel-Inhaber die Vertretungsmacht haben soll oder 

4. dem Empfänger einer Auskunft nach § 5 Abs. 1 Satz 2 

den aus der Pflichtverletzung oder dem Versagen der 
Sicherungseinrichtungen entstehenden Schaden zu erset- 
zen. Die Ersatzpfhcht tritt nicht ein, wenn der Zertifizie- 
rungsdiensteanbieter nicht schuldhaft gehandelt hat. 

(2) Wenn ein qualifiziertes Zertifikat oder ein qualifi- 
zierter Zeitstempel die Nutzung des Signaturschlüssels 
oder des Zeitstempels auf bestimmte Anwendungen 
nach Art oder Umfang beschränkt, tritt die Ersatzpfhcht 
nur im Rahmen dieser Beschränkungen ein. 

(3) § 831 Abs. 1 Satz 2 des Bürgerlichen Gesetzbuchs 
ist nicht anzuwenden. 

(4) Ein Zertifizierungsdiensteanbieter, der gemäß § 23 
Abs. 1 Satz 2 Nr. 2 für ein Zertifikat eines Anbieters aus 
einem Drittstaat einsteht, haftet für dessen Handeln wie 
für eigenes Handeln. 

(5) Die Absätze 1 bis 4 sind auf sonstige Zertifikate oder 
Zeitstempel entsprechend anzuwenden, soweit nicht die 
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Zertifizierungsstelle ihre Pflichten oder ihre Haftung in 
dem Zertifikat oder Zeitstempel beschränkt hat.“ 

Begründung 

Die Haftungsvorschrift ist so zu fassen, dass sie unmiss- 
verständlich eine deliktische Haftung zum Gegenstand 
hat. Diese Klarstellung ist erforderlich, damit kein Zwei- 
fel darüber besteht, welche allgemeinen Vorschriften für 
die Haftung gelten, insbesondere hinsichtlich der Gehil- 
fenhaftung und der Verjährung. 

Die deliktische Haftung ist sachangemessen, wenn für 
Gehilfen uneingeschränkt gehaftet wird und wenn die 
Beweislast hinsichtlich des Verschuldens beim Zertifi- 
zierungsdiensteanbieter hegt. Die vertragliche Haftung 
gegenüber dem Signaturschlüssel-Inhaber bedarf keiner 
besonderen gesetzlichen Regelung. Für die Haftung 
gegenüber Dritten ist zwar auch an eine Haftung auf 
Grund eines Vertrages mit Schutzwirkung zu Gunsten 
Dritter zu denken (vgl. Palandt/Heinrichs, BGB-Komm., 
59. Aufl., § 328 Rdnr. 32). Die deliktische Haftung bie- 
tet jedoch den Vorteil, dass sie nicht durch Rechtswahl 
gemäß Artikel 27 EGBGB eingeschränkt werden kann. 
Sie ist auch nicht mit einer Haftungsobergrenze be- 
schränkt, wie das bei einer Gefährdungshaftung zu er- 
warten wäre. 

In Absatz 1 sind - einem allgemeinen Grundsatz des De- 
liktsrechts folgend - die Ansprüche auf einen Personen- 
kreis zu beschränken, der unmittelbar Adressat der elekt- 
ronischen Signatur, des Zeitstempels oder der Auskunft 
ist. Ohne eine solche Beschränkung würde die Haftung 
uferlos und für den Haftenden nicht mehr kalkulierbar. 

Andererseits müssen auch diejenigen einen Ersatzan- 
spruch erhalten, über die in einem Zertifikat zu Unrecht 
bescheinigt wird, der Signaturschlüssel-Inhaber habe für 
sie Vertretungsmacht. Gerade in diesem Punkt muss ein 
wesentliches Schadenspotenzial angenommen werden. 

Absatz 1 Satz 2 der vorgeschlagenen Fassung über- 
nimmt im Kern den Regelungsgehalt des Absatzes 2 des 
Entwurfs, bringt ihn aber in die sachgerechte Fassung. 
Der Entwurf will zu Recht und in Übereinstimmung mit 
Artikel 6 Abs. 1 der Richtlinie die Beweislast hinsicht- 
lich des Verschuldens dem Zertifizierungsdiensteanbie- 
ter auferlegen, weil der Geschädigte kaum eine Chance 
hätte, das Verschulden zu beweisen. Die Fassung des 
Entwurfs „wenn er die Verletzung nicht zu vertreten hat“ 
knüpft an § 276 Abs. 1 Satz 1 BGB an, der sich aller- 
dings auf bestehende Schuldverhältnisse bezieht und 
deshalb für eine deliktische Haftung gegenüber Dritten 
nicht sachgerecht ist. Es muss vielmehr ausgesprochen 
werden, dass der Zertifizierungsdiensteanbieter darzule- 
gen und zu beweisen hat, dass ihn kein Verschulden 
trifft. 

Auf die Regelung in Absatz 1 Satz 2 des Entwurfs sollte 
verzichtet werden. Ohne eine solche Vorschrift gilt § 254 
BGB und führt zu einem angemessenen Interessenaus- 
gleich zwischen den Beteiligten. Hingegen gibt es kei- 
nen hinreichenden Grund, einen Ersatzanspruch des Ge- 
schädigten schon dann vollständig auszuschließen, wenn 
ihn nur leichtes Verschulden trifft, selbst bei einem 


schweren Verschulden auf der Seite des Zertifizierungs- 
diensteanbieters. 

Die in Absatz 3 des Entwurfs enthaltene Regelung der 
Verwendungsbeschränkung für qualifizierte Zertifikate 
muss auf Verwendungsbeschränkungen in qualifizierten 
Zeitstempeln ausgedehnt werden (Absatz 2 der vorge- 
schlagenen Fassung). Bei Zeitstempeln gibt es in glei- 
cher Weise wie bei Zertifikaten ein Bedürfnis, die Ver- 
wendung nach Art und Umfang einzuschränken und da- 
mit das Haftungsrisiko zu verringern. 

Dass der Entwurf in Absatz 4 Satz 2 die Anwendung von 
§ 83 1 Abs. 1 Satz 2 BGB ausschließen will, ist sachge- 
recht. Allerdings muss die Möglichkeit des Entlastungs- 
beweises für alle Verrichtungsgehilfen ausgeschlossen 
werden, nicht nur für die gemäß § 4 Abs. 5 beauftragten 
Dritten und für ausländische Zertifizierungsstellen, für 
die der Anbieter einsteht. Insbesondere muss für die ei- 
genen Leute eine uneingeschränkte Gehilfenhaftung gel- 
ten. Anderenfalls könnte die Haftung empfindlich einge- 
schränkt sein, denn in aller Regel werden die Zertifizie- 
rungsdiensteanbieter juristische Personen sein, und die 
Organhaftung nach § 3 1 BGB wird nur in den seltensten 
Fällen eingreifen. Deswegen kommt es auf eine uneinge- 
schränkte Haftung für die Mitarbeiter an. Entscheidend 
ist es deshalb, die Entlastungsmöglichkeit des § 831 
Abs. 1 Satz 2 BGB umfassend auszuschließen. 

Unter dieser Voraussetzung ist es nicht erforderlich, in 
Absatz 4 Satz 1 des Entwurfs eine Haftung des Anbie- 
ters für beauftragte Dritte zu regeln, weil sie Verrich- 
tungsgehilfen sind, für die ohnehin nach § 83 1 BGB ge- 
haftet wird. Lediglich hinsichtlich des Einstehens für 
Zertifikate aus Drittstaaten sollte die Regelung in Ab- 
satz 4 übernommen werden. 

Die Haftungsregelung wäre jedoch unvollständig, wenn 
sie auf qualifizierte Zertifikate und Zeitstempel be- 
schränkt würde. Die Richtlinie gestattet nicht nur solche 
qualifizierten Produkte und dem entsprechend geht auch 
der Entwurf davon aus, dass es daneben einfache und, 
fortgeschrittene elektronische Signaturen geben kann. In 
der Praxis können insbesondere Kostengesichtspunkte 
dafür sprechen, solche einfacheren Formen anzubieten 
und zu akzeptieren, ebenso der Umstand, dass im Rah- 
men der Richtlinie nur eingeschränkte Möglichkeiten ei- 
ner Haftungsbeschränkung bestehen. Auch bei diesen 
Signaturen kann sich die Haftungsfrage stellen. Wenn es 
insoweit an einer speziellen Regelung fehlt, müssen die 
allgemeinen Normen herangezogen werden, etwa eine 
Haftung auf Grund eines Vertrages mit Schutzwirkung 
zu Gunsten Dritter (vgl. Palandt/Heinrichs, BGB- 
Komm., 59. Aufl., § 328 Rdnr. 32). Es wäre jedoch 
schwer hinnehmbar, wenn für Zertifikate mit und ohne 
Qualifikation nach grundsätzlich unterschiedlichen An- 
spruchsnormen gehaftet würde. 

Deshalb empfiehlt es sich, in Absatz 5 die Vorschriften 
der Absätze 1 bis 4 auf Zertifikate und Zeitstempel ohne 
Qualifikation für entsprechend anwendbar zu erklären, 
jedoch mit der wesentlichen Einschränkung, dass die 
Anbieter im Zertifikat ihre Pflichten und ihre Haftung - 
auch betragsmäßig - einschränken können. Ob solche 
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Leistungen, zu geringeren Preisen, aber auch mit einge- 
schränkter Haftung, akzeptiert werden, kann der Markt 
entscheiden. 

5. Zu Artikel 1 (§ 12 SigG) 

ln Artikel 1 ist § 12 wie folgt zu ändern: 

a) Satz 1 ist wie folgt zu fassen: 

„Der Zertifizierungsdiensteanbieter hat dafür Sorge 
zu tragen, dass er seinen gesetzlichen Verpflichtun- 
gen zum Ersatz von Schäden nachkommen kann, die 
dadurch entstehen, dass er die Anforderungen dieses 
Gesetzes oder der Rechtsverordnung nach § 24 ver- 
letzt oder seine Produkte für elektronische Signaturen 
oder sonstige technische Sicherungseinrichtungen 
versagen.“ 

b) ln Satz 2 ist die Angabe „§ 11“ durch die Angabe 
„Satz 1“ zu ersetzen. 

Begründung 

Der Bundesrat begrüßt die Einführung einer Verpflich- 
tung der Zertifizierungsdiensteanbieter zur Deckungs- 
vorsorge. Die Anknüpfung der Verpflichtung an „durch 
den Betrieb eines Zertifizierungsdienstes schuldhaft ver- 
ursachte Schäden“ ist jedoch abzulehnen. Für eine Haf- 
tung nach § 11 SigG-E reicht es bereits aus, dass der 
Zertifizierungsdiensteanbieter fehlendes Verschulden 
nicht nachweisen kann. § 1 1 SigG-E setzt demnach die 
positive Feststellung eines Verschuldens nicht voraus. 
Außerdem sollte in § 12 Satz 2 SigG-E nicht nur der An- 
spruch nach § 1 1 SigG-E als Anknüpfungspunkt der De- 
ckungsvorsorgepflicht gewählt werden, sondern wie in 
§ 19 UmweltHG das Schadensrisiko, um auch unter 
Umständen gegebene konkurrierende Ansprüche einzu- 
beziehen. 

6. Zu Artikel 1 (§ 12 Satz 2 SigG) 

Der Bundesrat bittet die Bundesregierung, im weiteren 
Gesetzgebungsverfahren zu prüfen, ob die Mindestde- 
ckungssumme von 500 000 Deutsche Mark bzw. 
250 000 Euro je haftungsauslösendem Ereignis ausrei- 
chend ist. 

Begründung 

Die in der Begründung des Gesetzentwurfs (S. 26) ent- 
haltenen Ausführungen zur Festlegung der Mindestde- 
ckungssumme von 500 000 DM bzw. 250 000 Euro (vgl. 


Artikel 2) je haftungsauslösendem Ereignis sind sehr 
knapp gehalten und können nicht befriedigen. Der Hin- 
weis, dass geldwerte Transaktionen (z. B. beim Online- 
Banking) regelmäßig unter den genannten Beträgen lie- 
gen, lässt außer Betracht, dass - wie in der Begründung 
auf S. 26 zutreffend ausgeführt - ein haftungsauslösen- 
des Ereignis (z. B. ein gefälschtes Zertifikat) eine unbe- 
stimmte Vielzahl von Einzelschäden auslösen kann, für 
die die Mindestsumme insgesamt nur einmal bereitsteht. 

7. Zu Artikel 1 (§§ 12 und 24 Nr. 1 SigG) 

Der Bundesrat bittet die Bundesregierung sicherzustellen, 
dass die Verordnung zur Ausgestaltung der Deckungsvor- 
sorge zusammen mit dem reformierten Signaturgesetz in 
Kraft tritt. 

Begründung 

Es erscheint inakzeptabel, die nähere Ausgestaltung der 
Deckungsvorsorge einer Verordnung zu überlassen, 
wenn nicht sichergestellt ist, dass sie zusammen mit dem 
reformierten Signaturgesetz in Kraft tritt. Andernfalls 
ließe sich - nach den Erfahrungen im Bereich des Gen- 
technikgesetzes und der Umwelthaftung - kaum Vorher- 
sagen, ob und wann die Verordnung jemals erlassen 
werden wird. Auch bliebe völlig unklar, was unter einer 
geeigneten Deckungsvorsorge im Sinne des § 12 SigG-E 
zu verstehen ist. Die daraus resultierende Rechtsun- 
sicherheit wäre nicht nur für potenzielle Anspruchsteller, 
sondern auch für die Zertifizierungsdiensteanbieter an- 
gesichts der nach § 19 Abs. 3 Nr. 3 SigG-E drohenden 
Sanktionen untragbar. Ob eine hohe Kapitaldeckung ei- 
ner Zertifizierungsstelle als Deckungsvorsorge ausreicht, 
wie in der Entwurfsbegründung (S. 26) ausgeführt, er- 
scheint sehr zweifelhaft. 

8. Zu Artikel 1 (§ 24 Nr. 1 SigG) 

Der Bundesrat bittet die Bundesregierung, im weiteren 
Gesetzgebungsverfahren zu prüfen, ob die Verordnungs- 
ermächtigung zur Ausgestaltung der Deckungsvorsorge 
in der gegenwärtigen Fassung (§ 24 Nr. 1) ausreichend 
ist. 

Begründung 

Angesichts der strengen Vorgaben des Artikels 80 Abs. 1 
Satz 2 GG bestehen erhebliche Bedenken, ob die Verord- 
nungsermächtigung in § 24 Nr. 1 SigG-E zur Ausgestal- 
tung der Deckungsvorsorge (§12 SigG-E) hinreichend 
bestimmt ist. 
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Anlage 3 


Gegenäußerung der Bundesregierung 


Die Bundesregierung äußert sich zur Stellungnahme des 
Bundesrates wie folgt: 

Zu Nummer 1 (Artikel 1 § 2 SigG) 

Zu Ziffer 1 

Die Bundesregierung prüft die Frage im weiteren Gesetzge- 
bungsverfahren. 

Zu Ziffer 2 

Die Bundesregierung hat den Vorschlag geprüft. 

Bei dem in § 16 Abs. 1 Satz 1 genannten Zertifikat handelt 
es sich um ein qualifiziertes Zertifikat. Diese Zertifikate, die 
von der zuständigen Behörde für die zuständigen Mitarbei- 
ter der akkreditierten Zertifizierungsdiensteanbieter ausge- 
stellt werden, sind automatisch daran erkennbar, dass sie 
eine qualifrzierte elektronische Signatur der zuständigen 
Behörde - d. h. des zuständigen Behördenvertreters - auf- 
grund des Verfahrens der „freiwilligen Akkreditierung“ tra- 
gen. Auch die Zertifrkate nach § 16 Abs. 1 sind ausschließ- 
lich personengebunden. Es besteht aufgrund der Verwen- 
dung dieses Zertifikates kein Erfordernis, dieses Zertifikat 
gesondert zu definieren. 

Zu Nummer 2 (Artikel 1 § 6 Abs. 2 Satz 1 SigG) 

Die Bundesregierung prüft die Frage im weiteren Gesetz- 
gebungsverfahren. 

Zu Nummer 3 (Artikel 1 § 6 Abs. 2 Satz 2 SigG) 

Die Bundesregierung hat den Vorschlag geprüft. 

Sie lehnt den Vorschlag im Ergebnis ab. Mit dem Bundesrat 
besteht insoweit Einigkeit, dass die Belehrung des Zertifi- 
zierungsdiensteanbieters nicht eigenhändig unterschrieben 
sein muss, sondern z. B. als vorgefertigter Formulardruck 
ausgehändigt werden kann. Die Konstellation ist dieselbe 
wie in einer Reihe von Fällen, in denen Belehrungs- oder 
Unterrichtungspflichten im Gesetz vorgesehen sind, für die 
es auf eine nachlesbare Verkörperung, nicht aber auf die 
eigenhändige Unterschrift ankommt, z. B. §§ 53 Abs. 2 
BörsenG, 23a KWG. ln (bisheriger) Ermangelung eines an- 
deren Begriffs wird in diesen Fällen ebenfalls das Wort 
„schriftlich“ verwendet, wobei auch im Schrifttum Einig- 
keit besteht, dass hiermit nicht die Schriftform im Sinne des 
§ 126 BGB gemeint ist. Abhilfe schafft hier der Gesetzent- 
wurf zur Anpassung der Formvorschriften des Privatrechts 
und anderer Vorschriften an den modernen Rechtsgeschäfts- 
verkehr, der für derartige Fälle die Textform einführt. Das 
Gesetz soll zeitnah mit dem Signaturgesetz in Kraft treten; 
im dortigen Gesetzgebungsverfahren kann gegebenenfalls 
die entsprechende Anpassung des § 6 Abs. 2 Satz 2 SigG 
eingebracht werden. 


Zu Nummer 4 (Artikel 1 § 11 SigG) 

Der Änderungsvorschlag enthält eine Reihe thematisch un- 
terschiedlicher Änderungen, die im Folgenden getrennt be- 
handelt werden. 

1. Zum Vorschlag zu Absatz 1 

a) Die Bundesregierung stimmt dem Vorschlag, in 
Absatz 1 Satz 1 den begünstigten Personenkreis enu- 
merativ aufzulisten, nicht zu. 

Bei der Ausgestaltung des begünstigten Personenkrei- 
ses ist der Gesetzgeber an die Vorgaben der EG-Signa- 
turrichtlinie gebunden. Die Richtlinie bezeichnet den 
Personenkreis, dem gegenüber der Zertifizierungs- 
diensteanbieter einstehen muss, in neutraler Weise als 
jede Person, „die vernünftigerweise auf das Zertifikat 
vertraut“. Das Kriterium, dass der Geschädigte auf die 
falschen Angaben im Zertifikat vertraut hat und ver- 
trauen durfte, stellt den entscheidenden inneren Recht- 
fertigungsgrund für die Gewährung des Schadenser- 
satzes dar und muss - wie in dem Gesetzentwurf vor- 
gesehen - in der innerstaatlichen Umsetzung aufge- 
nommen werden. Der Änderungsvorschlag greift 
dieses Element jedoch nicht auf. Aus diesem Grund 
fällt auch der im Zertifikat fälschlich als Vertretene 
Bezeichnete nicht in den Kreis der nach der Richtlinie 
Schadensersatzberechtigten, da er nicht auf Angaben 
im Zertifikat vertraut hat; vielmehr richtet sich die Ab- 
wicklung von Fällen fehlender Vertretungsmacht nach 
den allgemeinen Regeln des BGB. 

Zudem ist nicht ausgeschlossen, dass es Konstellatio- 
nen gibt, in denen auch eine Person außerhalb des im 
Änderungsvorschlag abschließend bezeichneten Per- 
sonenkreises - nämlich weitere Personen über den 
unmittelbaren Adressatenkreis des Zertifikats, des 
Zeitstempels oder der Auskunft hinaus - nach der 
Richtlinie schadensersatzberechtigt ist; die Begrün- 
dung des Änderungsvorschlags stellt selbst darauf ab, 
dass mit der vorgelegten Formulierung eine Eingren- 
zung des begünstigten Personenkreises vorgenom- 
men wird. Damit bleibt die vorgeschlagene Formu- 
lierung beim Kreis der Begünstigten hinter den zwin- 
genden gemeinschaftsrechtlichen Vorgaben zurück 
und würde zu einer nicht vollständigen Umsetzung 
der Richtlinie fuhren. 

b) Die Bundesregierung stimmt dem redaktionellen 
Vorschlag zu, in Absatz 1 von den „Pflichten nach 
diesem Gesetz oder der Rechtsverordnung nach 
§ 24“ zu sprechen. 

c) Die Bundesregierung lehnt den Vorschlag ab, den im 
Gesetzentwurf enthaltenen Absatz 1 Satz 2 ersatzlos 
zu streichen. 

Diesem Vorschlag kann auf Grund der zwingenden 
Vorgaben der Signaturrichtlinie nicht gefolgt werden. 
Der Satz 2 greift die in Artikel 6 Abs. 1 der Richtlinie 
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enthaltene Formulierung auf, dass die geschädigte 
Person „vernünftigerweise“ auf das Zertifikat ver- 
trauen muss. Diese Formulierung stellt eine Qualifi- 
zierung des Tatbestandsmerkmals „Vertrauen auf den 
Inhalt des Zertifikats“ auf, das - wie oben zu 
Nummer 4 unter 1 . a) ausgeführt - eine zentrale und 
unverzichtbare Haftungsvoraussetzung darstellt. Der 
Begriff „vernünftigerweise“ bedarf dabei der Umset- 
zung in nationale Rechtssprache. Gemeint ist, dass 
eine Haftung dann nicht eintritt, wenn der Geschä- 
digte wusste, dass die Angabe im Zertifikat falsch 
war oder er dies bei Anspannung der verkehrsübli- 
chen Sorgfalt hätte erkennen können, seine Unkennt- 
nis von der Fehlerhaftigkeit also auf Fahrlässigkeit 
beruht. In diesen Fällen ist das Vertrauen des Dritten 
in die Angaben des Zertifikats nicht schützenswert, 
so dass es gerechtfertigt ist, ihm den Schadensersatz- 
anspruch zu versagen. Eine Abwägung nach § 254 
BGB kommt dabei nicht zum Zuge. Die Konstella- 
tion entspricht der Fallgestaltung in § 122 BGB; die 
dort enthaltene Formulierung, die eine Legaldefini- 
tion der Wörter „kennen müssen“ enthält, wurde 
übernommen. 

d) Die Bundesregierung stimmt dem Formulierungsvor- 
schlag für Absatz 1 Satz 2 zu, wonach die Ersatz- 
pflicht nicht eintritt, wenn der Zertifizierungsdien- 
steanbieter „nicht schuldhaft gehandelt“ hat. 

Die Bundesregierung ist im Übrigen der Auffassung, 
dass mit dieser Formulierung der deliktische Charak- 
ter der Haftungsbestimmung nunmehr eindeutig be- 
stimmt ist. Ansatzpunkte für die Konstruktion einer 
vertraglichen Haftung mit Schutzwirkung zugunsten 
Dritter, wie sie zum Teil in der Rechtswissenschaft 
diskutiert werden, enthält der Gesetzentwurf nicht. Da 
nach Auffassung der Bundesregierung Absatz 1 
Satz 2 des Gesetzentwurfs beibehalten werden muss, 
würde der hier in Rede stehende Satz zu Satz 3 in 
Absatz 1 . Sie spricht sich allerdings dafür aus, die Be- 
stimmung - auch wegen ihrer Signalwirkung - als 
selbständigen Absatz 2 beizubehalten. 

2. Zum Vorschlag zu Absatz 2 (Haftungsbeschränkungen 
in Zeitstempeln) 

Die Bundesregierung prüft die Frage im weiteren 
Gesetzgebungsverfahren. 

3. Zum Vorschlag zu Absatz 3 

Die Bundesregierung stimmt dem Vorschlag nicht zu. 

Dem Vorschlag, die Möglichkeit des Entlastungsbewei- 
ses nach § 831 Abs. 1 Satz 2 BGB für alle Verrichtungs- 
gehilfen auszuschließen, kann sich die Bundesregierung 
nicht anschließen. Der Gesetzentwurf sieht den Aus- 
schluss des Entlastungsbeweises nur bei beauftragten 
Dritten vor. Dies beruht auf der besonderen Bedeutung, 
die der Einschaltung von Dritten im typischen Arbeits- 
ablauf eines Zertifizie-rungsdiensteanbieters zukommt. 
Wie in der Begründung zum Gesetzesentwurf ausgeführt 
wird, wird der beauftragte Dritte in der Regel - entgegen 
der Annahme in der Begründung des Änderungsvor- 
schlags - kein Verrichtungsgehilfe im Sinne des § 831 


BGB sein, da er einen hinreichenden Grad an Selbstän- 
digkeit in seiner Tätigkeit aufweist. In den (wenigen) 
Fällen, in denen der Dritte näher an den Zertifizierungs- 
diensteanbieter angebunden und auf Grund stärkerer 
Weisungsabhängigkeit als Verrichtungsgehilfe einzustu- 
fen ist, kann sich dies nicht zum Nachteil des außenste- 
henden Geschädigten auswirken, indem der Dienstean- 
bieter sich dann exkulpieren kann. Daher musste, um 
eine Gleichbehandlung aller eingeschalteten Dritten zu 
erreichen, § 831 Abs. 1 Satz 2 BGB für diese Fälle aus- 
geschlossen werden. 

Diese Erwägungen sind nicht auf die Tätigkeit der eige- 
nen Mitarbeiter der Zertifizierungsdiensteanbieter über- 
tragbar. Deren Situation unterscheidet sich nicht von jeg- 
licher anderer Dienstleistungsverrichtung von angesteh- 
ten Mitarbeitern eines Unternehmens. Für diese Stan- 
dardsituation trifft § 83 1 Abs. 1 Satz 2 BGB die 
Grundwertung, dass der Geschäftsherr dann nicht haftet, 
wenn er die erforderliche Sorgfalt bei der Auswahl und 
Überwachung der Gehilfen ausgeübt hat und ihm inso- 
weit in seiner Person kein Fahrlässigkeitsvorwurf zu ma- 
chen ist. Ausgehend von dieser Grundwertung ist auch 
eine unterschiedliche Behandlung zu eingeschalteten 
dritten Stellen gerechtfertigt: Der Geschäftsherr hat bei 
seinen eigenen Angestellten einen wesentlich unmittel- 
bareren Zugriff, was die Auswahl und die Aufsichts- und 
Anleitungsmöglichkeiten angeht, als dies bei beauftrag- 
ten Dritten der Fall ist, selbst wenn diese im Einzelfall 
auch als Verrichtungsgehilfen einzustufen sind. Das 
rechtfertigt es, seiner gesteigerten Einwirkungsmöglich- 
keit entsprechend ihm auch die vom Gesetzgeber grund- 
sätzlich vorgesehene Entlastung zukommen zu lassen, 
wenn er die ihm als Geschäftsherr obliegenden Pflichten 
erfüllt hat. Der erforderliche Schutz des Geschädigten 
wird insofern berücksichtigt, als an die Sorgfaltsvoraus- 
setzungen des Geschäftsherm strenge Anforderungen zu 
stehen sind. Dies gilt angesichts der sicherheitsrelevan- 
ten und besonders verantwortungsvollen Tätigkeit von 
Zertifizierungsdiensteanbietem hier in besonderen 
Maße. 

Die Bundesregierung verkennt nicht, dass es hierdurch 
zu einer unterschiedlichen Behandlung der eigenen Mit- 
arbeiter zu eingeschalteten Dritten, die Verrichtungsge- 
hilfen sind, kommt. Aus politischen Gründen kommt es 
für die Bundesregierung jedoch nicht in Betracht, § 831 
Abs. 1 Satz 2 BGB für alle Fälle von eingeschalteten 
Personen auszuschließen. Eine solche Ausdehnung 
könnte in der Industrie, die bereits gegenüber der Bun- 
desregierung starke Bedenken gegen diese Regelung im 
Gesetzentwurf geäußert hat, als ein Signal dahingehend 
verstanden werden, dass hierdurch ein Einfallstor für 
eine generelle Abschaffung des Entlastungsbeweises ge- 
schaffen wird. Die Erwägungen, die zu dieser Bestim- 
mung geführt haben, beruhen allein auf der besonderen 
Konstellation der Tätigkeit der Zertifizierungsdienstean- 
bieter und sind daher nicht verallgemeinerbar. 

4. Zum Vorschlag zu Absatz 4 

Es handelt sich um eine Folgeänderung zum Änderungs- 
vorschlag zu Absatz 3, die den verbleibenden Rege- 
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lungsgehalt aufnimmt. Da sich die Bundesregierung für 
die Beibehaltung des Absatz 4 des Gesetzentwurfs aus- 
spricht und in diesem der Regelungsgehalt des hier vor- 
geschlagenen neuen Absatzes 4 enthalten ist, hat sich 
hiernach dieser Änderungsvorschlag erledigt. 

5. Zum Vorschlag zu Absatz 5 

Die Bundesregierung lehnt den Vorschlag ab, die Haf- 
tungsregeln des § 1 1 auch auf sonstige Zertifikate anzu- 
wenden. 

Das Signaturgesetz erklärt zwar in § 1 Abs. 2 die Ver- 
wendung aller Typen elektronischer Signaturen für 
grundsätzlich frei, befasst sich im Folgenden selbst 
jedoch nur mit den qualifizierten elektronischen Signa- 
turen und den ihnen zugrunde hegenden qualifizierten 
Zertifikaten. Die Rechtswirkungen anderer Signatur- 
und Zertifizierungssysteme können sehr unterschiedlich 
ausfallen und eine entsprechend unterschiedliche Bewer- 
tung rechtfertigen. Dies gilt insbesondere für die Frage 
des schützenswerten Vertrauens in die Angaben des Zer- 
tifikats, welches letztlich den inneren Legitimations- 
grund für die strenge Haftungsregelung darstellt. Dieses 
ist nur aufgrund der strengen Anforderungen an die Tä- 
tigkeit der Zertifizierungsdiensteanbieter nach dem Sig- 
naturgesetz und der detailliert vorgeschriebenen Inhalte 
qualifizierter Zertifikate gerechtfertigt. Von daher lassen 
sich die betreffenden Haftungsregelungen aus dem Sig- 
naturgesetz nicht pauschal auf andere Zertifizierungs- 
modelle übertragen, wie dies Absatz 5 des Änderungs- 
vorschlags vorsieht; vielmehr kann eine unterschiedliche 
Behandlung gerade gerechtfertigt sein. 

Zu Nummer 5 (Artikel 1 § 12 SigG) 

Zu Buchstabe a 

Die Bundesregierung hat den Vorschlag geprüft. 

Dem Änderungsvorschlag wird in der Sache zugestimmt. Es 
muss sichergesteht sein, dass die Deckungsvorsorge nur - 
aber auch immer dann - in den Fällen eingreift, in denen der 
Zertifizierungsdiensteanbieter nach § 11 haftet. Dies wird 
durch den Verweis auf die gesetzlichen Verpflichtungen 
zum Schadensersatz bewerkstelligt. Um in Übereinstim- 
mung mit der Überschrift zu § 12 klarer zum Ausdruck zu 
bringen, wofür er Sorge zu tragen hat, schlägt sie nunmehr 
folgende Fassung für Artikel 1 § 12 Satz 1 SigG vor: 

„Der Zertifizierungsdiensteanbieter ist verpflichtet, eine 
geeignete Deckungsvorsorge zu treffen, damit er seinen 
gesetzlichen Verpflichtungen zum Ersatz von Schäden 
nachkommen kann, die dadurch entstehen, dass er die 
Anforderungen dieses Gesetzes oder der Rechtsverord- 


nung nach § 24 verletzt oder seine Produkte für elektro- 
nische Signaturen oder sonstige technische Sicherungs- 
einrichtungen versagen.“ 

Zu Buchstabe b 

Dem Vorschlag wird zugestimmt. 

Zu Nummer 6 ( Artikel 1 § 12 Satz 2 SigG) 

Die Bundesregierung hat die Frage geprüft und trägt den zu- 
grunde hegenden Bedenken des Bundesrates Rechnung. 

Sie ist zwar der Auffassung, dass der geäußerten Prüfbitte 
ein Missverständnis zugrunde hegt, da der Gesetzentwurf 
nicht eine Mindestdeckungssumme von 500 000 DM pro 
haftungsauslösendem Ereignis, sondern für einen durch ein 
solches Ereignis ausgelösten Schaden vorsieht; sie greift 
jedoch das Anliegen des Bundesrates durch eine entspre- 
chende Klarstellung im Gesetz auf. Hintergrund der Formu- 
lierung im Gesetzentwurf ist die als zutreffend erkannte Er- 
wägung, dass durch ein einziges haftungsauslösendes Ereig- 
nis eine Vielzahl von Einzelschäden ausgelöst werden kön- 
nen. Für jeden einzelnen dieser Schadensfälle beträgt die 
Mindestdeckungssumme 500 000 DM. Die Bundesregie- 
rung schlägt nunmehr folgende Fassung für Artikel 1 § 12 
Satz 2 vor: 

„Die Mindestsumme beträgt jeweils 500 000 Deutsche 
Mark für einen durch ein haftungsauslösendes Ereignis 
der in Satz 1 bezeichneten Art verursachten Schaden.“ 

Zu Nummer 7 (Artikel 1, §§ 12 und 24 Nr. 1 SigG) 

Die Bundesregierung beabsichtigt, die Novelle der Signa- 
turverordnung, die unter anderem auch die nähere Ausge- 
staltung der Deckungsvorsorge vorsieht, zeitnah mit dem 
neuen Signaturgesetz in Kraft treten zu lassen. Sie strebt an, 
einen Diskussionsentwurf zur Verordnung noch im Herbst 
2000 vorzulegen. 

Zu Nummer 8 (Artikel 1 § 24 Nr. 1 SigG) 

Die Bundesregierung hat den Vorschlag geprüft. 

Sie schlägt nunmehr folgende Änderungen für § 24 SigG 
vor: 

1. In Nummer 1 wird die Bezeichnung „12“ gestrichen. 

2. Nach Nummer 3 wird folgende Nummer 4 eingefügt: 

„4. die zur Erfüllung der Verpflichtung zur Deckungs- 
vorsorge nach § 12 zulässigen Sicherheitsleistungen 
sowie deren Umfang, Höhe und inhaltliche Ausge- 
staltung.“ 

3. Die bisherigen Nummern 4 bis 7 werden zu den Num- 
mern 5 bis 8. 
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